Socket’in Tehdit Araştırma Ekibi, Instagram, Twitter/X, Tiktok, WordPress, Telegram, Kakao ve Naver gibi platformlar için otomasyon araçları olarak maskelenen 60’tan fazla kötü niyetli Rubygem paketini içeren kalıcı bir kampanya düzenledi.
En azından Mart 2023’ten bu yana aktif olan, Zon, Nowon, Kwonsoonje ve Soonje gibi takma adlar altında faaliyet gösteren tehdit oyuncusu, kullanıcı kimlik bilgilerini ve sistem tanımlayıcılarını gizlice söndürme gibi toplu gönderme ve katılım arttırma gibi meşru işlevsellikler sunmak için bu taşları dağıttı.
Infostealer kötü amaçlı yazılım olarak sınıflandırılan bu paketler, öncelikle Windows ortamlarını hedefler ve Glimmer-DSL-Libui kullanılarak oluşturulan Koreli dil grafik kullanıcı arayüzlerinden (GUIS) belirlenen ve .KR alanlarına eksfiltrasyondan kaynaklanır.
Uzun süredir devam eden tedarik zinciri saldırısı
Toplu olarak 275.000’den fazla indirme kazanan mücevher, bu kadar uzlaşmaya eşit değildir, çünkü yürütme değişir ve tek sistemlerde birden fazla kurulum meydana gelebilir.
Socket, Rubygems güvenlik ekibini bilgilendirerek, Nowon, Kwonsoonje ve Soonje takma adlarının altındaki 16 natürmort alemlerinin kaldırılmasını talep ederken, Zon altındaki 44 aktör tarafından kendi kendine yanandı, ancak önbelleklerde ve tesislerde devam ediyor.
Kötü amaçlı yazılımların çekirdek mekanizması, kullanıcıları Koreli etiketli giriş alanları aracılığıyla platform kimlik bilgileri için istemeyi, daha sonra Programzon gibi komut ve kontrol (C2) sunucularına HTTP Post istekleri aracılığıyla derhal ana bilgisayarın MAC adresi ile birlikte iletmeyi içerir.[.]com/auth/program/Signin, Appspace[.]KR/BBS/LOGIN_CHECK.php ve Marketingduo[.]ortak[.]KR/BBS/login_check.php.
marketingduo[.]co[.]krPHP tabanlı bülten panolarında barındırılan bu uç noktalar, aktörün potansiyel yeniden satış veya daha fazla sömürü için veri hasat etmesini sağlayan kimlik bilgisi toplama panelleri olarak hizmet eder.
IUZ-64bit gibi mücevherlerin soket AI tarayıcı analizi, küme boyunca kimlik bilgilerinin ve MAC adreslerinin kurbanın parmak izini ve kampanya korelasyonunu kolaylaştırdığı özdeş kalıpları ortaya çıkarır.
Kampanyanın evrimi, her iki ila üç ayda bir yeni platformlar için destek getirerek, öncülleri emekliye ayırmadan ek C2 alanları aracılığıyla altyapı yedekliliği ile birlikte birden fazla dalgaya yayılıyor.
Zon takma adın altında, meta veri tabanlı algılamadan kaçarken yeniden paketleme ve yeniden dağıtıma izin vererek parçaları atıfta bulunur.
Grey-şapka pazarlamacılarını hedeflemek
SPAM, SEO ve sentetik katılımla uğraşan Güney Koreli Grey-Hat pazarlamacıları için açıkça uyarlanan GEMS, kullanıcıların tek kullanımlık hesaplara ve otomasyon araçlarına güvenerek bir yıldan uzun bir süredir tespit edilmeyen çalışmayı sağlıyor.
Smmdoge gibi SMM panellerine erişen kurbanlar[.]Sahte takipçiler için com, arama manipülasyonu için spamzilla gibi backlink platformları ve Smshub gibi tek kullanımlık SMS ağ geçitleri[.]Kütle kayıtları için org, hesap tek kullanımlık nedeniyle nadiren ihlalleri bildirin.
Rusya pazarı gibi karanlık web pazarlarından infostealer günlükleri, pazarlamaDuo arasındaki enfeksiyonları onaylayın[.]ortak[.]KR müşterileri, Bablosoft’tan proxy araçlarında etkinlik gösteren sistemlerle[.]Com ve ACCS Piyasası gibi hesap pazarları[.]com.
Rapora göre, tanıtım Kore Telegram ve Kakao kanalları, “Otomatik Backlink Programları” ve “Üstün Üst Rütbeli Araçlar” reklamı ile gerçekleşiyor.
Özellikle, Njongto_duo ve Jongmogtolon gibi mücevherler, hisse senedi tartışma forumlarını hedefler, kimlik bilgilerini çalırken, finansal forum manipülasyonunu veya etkileri etkileyen özkaynak spekülasyonunun otomatikostlanmasını sağlar.
Bu çift kullanımlı model, aktöre kalıcı erişim sağlarken kurbanların grey hattı faaliyetlerini güçlendirerek kampanyayı sürdürüyor.
Savunucular, Socket’in GitHub uygulaması gibi araçları entegre isteği taraması için entegre etmeleri istenir, yükleme zamanı uyarıları için CLI, ekosistem tarama için tarayıcı uzantısı ve gelişen tedarik zincirlerinde bu tür riskleri azaltmak için AI destekli kodlama için MCP.
Uzlaşma Göstergeleri (IOCS)
| Kategori | Göstergeler |
|---|---|
| Kötü niyetli taşlar – şimdi takma adı | Soonje_1, Soonje_2, Soonje_2_2, Soonje_3, Setago3, Deltago4, Board_posting_duo, TBLog_duo, Cafe_product, Cafe_General, Cafe_Verillban, Jongmogtolon |
| Kötü niyetli taşlar – Kwonsoonje takma adı | Setago, setago2, katılım |
| Kötü niyetli taşlar – Soonje takma adı | katılım |
| C2 uç noktaları ve ağ göstergeleri | program[.]com/auth/program/Signin, Programzon[.]com, Appspace[.]KR/BBS/login_check.php, Appspace[.]KR, Marketingduo[.]ortak[.]KR/BBS/login_check.php, Marketingduo[.]ortak[.]Kr, yedi1.iwinv[.]Net, Duopro[.]ortak[.]KR |
| E -posta adresleri | mymin26@naver[.]com, rnjstnswp123@naver[.]com, pazarlamaDuo@Marketingduo[.]com |
| Telgraf | @duo3333 |
| Kakao Openchat Odası | https: // açık[.]kakao[.]com/o/scxh7vcd |
The Ultimate SOC-as-a-Service Pricing Guide for 2025– Ücretsiz indir