Kuzey Kore ile uyumlu tehdit aktörlerine atfedilen karmaşık bir kampanya, meşru JSON depolama hizmetlerini dünya çapındaki yazılım geliştiricilere gelişmiş kötü amaçlı yazılım dağıtmak için etkili bir vektör olarak silah haline getiriyor.
“Bulaşıcı Görüşme” operasyonu, tehdit aktörlerinin güvenlik kontrollerinden kaçınmak ve kalıcı sistem erişimi sağlamak için güvenilir altyapıyı kötüye kullanma konusunda nasıl yenilik yapmaya devam ettiğini gösteriyor.
Bulaşıcı Mülakat kampanyası en az 2023’ten bu yana sürekli olarak yürütülüyor ve temel hedefleri Kuzey Kore rejiminin mali kazancına odaklanıyor.
Operasyon, özellikle kripto para birimi ve Web3 geliştirme projelerinde yer alan kişilere vurgu yaparak, tüm büyük işletim sistemleri Windows, Linux ve macOS’taki yazılım geliştiricilerini açıkça hedef alıyor.
Bu odaklanma, saldırganların değerli hesapları ve cüzdanları yöneten kişilerden dijital varlıkları ve hassas kimlik bilgilerini çalmaya yönelik açık motivasyonunu yansıtıyor.
İlk Erişim Olarak Sosyal Mühendislik
Saldırı zinciri titizlikle hazırlanmış sosyal mühendislikle başlar. Tehdit aktörleri, LinkedIn gibi profesyonel ağ platformlarında, meşru işe alım uzmanlarını veya şirket temsilcilerini taklit ederek sahte işe alım uzmanı profilleri oluşturur.
Belgelenen örneklerde, saldırganlar tıbbi direktörler veya görünüşte meşru geliştirme projelerine destek sağlayan diğer profesyoneller gibi davrandılar.
Kısa yazışmalar yoluyla ilk uyumu sağladıktan sonra sahte işe alım uzmanı, GitLab gibi meşru kod depolarında barındırılan bir “demo projesi” gönderir ve hedeften görüşme kodlama görevlerini Node.js kullanarak yürütmesini ister.
Teknik karmaşıklık, kötü amaçlı yazılımın nasıl dağıtıldığı konusunda ortaya çıkıyor. Tehdit aktörleri, demo projesinin yapılandırma dosyalarına, özellikle de sunucu/config/.config.env dosyasına, zararsız API anahtarları gibi görünen base64 kodlu değişkenler yerleştirir.
Kodun çözülmesinin ardından bu değişkenler, JSON Keeper, JSON Silo ve npoint.io dahil meşru JSON depolama hizmetlerine işaret eden URL’leri ortaya çıkarır.
Bu hizmetler, masum görünen proje çalıştırıldığında dinamik olarak getirilen ve yürütülen, yoğun şekilde gizlenmiş JavaScript kodunu barındırır.
Bu metodoloji kasıtlı olarak tespit sistemlerini atlatmak için tasarlanmıştır. Kötü amaçlı veri havuzun kendisinde mevcut değildir, yalnızca ona bir referanstır, bu da statik analizi tehdidin keşfedilmesi için yetersiz kılar.
Çalışma zamanı yürütme sırasında, gizlenmiş kod normal API trafiği gibi görünür ve meşru ağ etkinliğine sorunsuz bir şekilde karışır.
Çok sayıda gizleme katmanından sonra, birincil veri, karmaşık veri sızdırma yeteneğine sahip bir bilgi hırsızı olan BeaverTail’i dağıtır.
BeaverTail, özellikle MetaMask, Phantom ve TronLink gibi kripto para birimi cüzdan uzantılarına odaklanarak tarayıcı profillerini sıralıyor ve çalıyor.
Kötü amaçlı yazılım ayrıca sistem bilgilerini, Word belgelerini, PDF dosyalarını, ekran görüntülerini, ortam değişkenlerini ve macOS sistemlerinde kullanıcının hassas parolalar içeren Anahtar Zinciri veritabanını da sızdırıyor.
BeaverTail daha sonra eksiksiz sistem kontrolü ve kalıcılık yetenekleri sağlayan modüler Python tabanlı Uzaktan Erişim Truva Atı InvisibleFerret’i getirir ve çalıştırır.
InvisibleFerret, dize gizleme için yerleşik bir XOR anahtarı kullanan ve sürekli yük dağıtımı için 1.000’den fazla kodlanmış URL’yi gömen, gelişmiş gizleme tekniklerini içerir.
Gelişmiş Kalıcılık Mekanizmaları
Kampanya, InvisibleFerret içinde üç bileşenli bir Tsunami çerçevesi kullanıyor: Tsunami Yükü, Windows Defender istisnaları ekler ve zamanlanmış görevler oluşturur, Tsunami Enjektörü kalıcılığı sağlar ve gerekli Python paketlerini yükler ve Tsunami Infector, Python kurulumunu doğrular ve gerekirse yönetici ayrıcalıkları kazanmak için UAC istemlerini kullanarak bunu sessizce yükler.
Çerçeve, yük bütünlüğü için RSA imza doğrulamasını uygulayarak olgun operasyonel güvenlik uygulamalarını gösterir.
Kanıtlar önemli bir kampanya başarısına işaret ediyor; analiz, veri yükü hazırlama için kullanılan bir Pastebin deposunun 400’den fazla görüntüleme aldığını ortaya koyuyor.
Araştırmacılar, keşfedilen göstergelere odaklanarak çok sayıda ek veri havuzu ve altyapı bileşeni belirledi. Güvenlik ekipleri, kötü amaçlı içeriğin kaldırıldığını doğrulayan ve izlemeye devam etmeyi taahhüt eden, kötüye kullanılan JSON depolama hizmetlerinin temsilcileriyle koordineli çalıştı.
Bulaşıcı Röportaj kampanyası, gelişmiş tehdit aktörlerinin hedefli saldırılar gerçekleştirmek için meşru, güvenilir altyapıyı nasıl kötüye kullandıklarını ve aynı zamanda operasyonel olarak gizli kaldıklarını gösteriyor.
Kuruluşlar, kapsamlı savunma stratejilerinin bir parçası olarak tüm işe alım değerlendirmeleri için sıkı kod inceleme süreçleri uygulamalı, işe alım yapan kişinin meşruiyetini resmi kanallar aracılığıyla doğrulamalı ve JSON depolama hizmetlerine yönelik olağandışı API isteklerini izlemelidir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.