Siber Muhbir

Bulaşıcı Mülakat (diğer adıyla DeceptiveDevelopment), bilgisayar korsanlığı ekibinin genellikle potansiyel iş fırsatları arayan kişileri mülakat süreci kisvesi altında kötü amaçlı yazılım indirmeleri için kandırmak için işe alım görevlisi gibi davrandığı, sosyal mühendislik cazibelerini kullanan kalıcı bir saldırı kampanyasını ifade eder.

Bu, GitHub'da veya resmi paket kayıt defterinde barındırılan kötü amaçlı yazılım yüklü video konferans uygulamalarının veya npm paketlerinin dağıtılmasını içerir ve BeaverTail ve InvisibleFerret gibi kötü amaçlı yazılımların dağıtımının önünü açar.

Etkinliği ilk olarak Kasım 2023'te ortaya çıkaran Palo Alto Networks Unit 42, kümeyi CL-STA-0240 adı altında takip ediyor. Aynı zamanda Ünlü Chollima ve Tenacious Pungsan olarak da anılır.

Eylül 2024'te Singapurlu siber güvenlik şirketi Group-IB, saldırı zincirindeki ilk büyük revizyonu belgeledi ve BeaverTail'in bilgi çalma işlevselliğini toplu olarak CivetQ olarak izlenen bir dizi Python komut dosyasına aktararak modüler bir yaklaşım benimseyen güncellenmiş bir sürümünün kullanımını vurguladı.

Bu aşamada, Bulaşıcı Röportajın, kötü amaçlı yazılım bulaşma sürecini tetiklemek için işle ilgili benzer tuzaklar kullanan uzun süredir devam eden bir başka Kuzey Kore bilgisayar korsanlığı kampanyası olan Operation Dream Job'dan farklı olarak değerlendirildiğini belirtmekte fayda var.

Japon siber güvenlik şirketi NTT Security Holdings'in en son bulguları, BeaverTail'i başlatmaktan sorumlu JavaScript kötü amaçlı yazılımının da OtterCookie'yi getirmek ve yürütmek için tasarlandığını ortaya koyuyor. Yeni kötü amaçlı yazılımın Eylül 2024'te tanıtıldığı ve geçen ay vahşi doğada yeni bir sürümün tespit edildiği söyleniyor.

OtterCookie, çalıştıktan sonra, Socket.IO JavaScript kitaplığını kullanarak bir komut ve kontrol (C2) sunucusuyla iletişim kurar ve daha fazla talimat bekler. Dosyalar, pano içeriği ve kripto para cüzdan anahtarları dahil olmak üzere veri hırsızlığını kolaylaştıran kabuk komutlarını çalıştırmak için tasarlanmıştır.

Eylül ayında tespit edilen eski OtterCookie varyantı işlevsel olarak benzerdir, ancak kripto para cüzdanı anahtar hırsızlığı özelliğinin, uzak bir kabuk komutunun aksine doğrudan kötü amaçlı yazılımın içine yerleştirildiği küçük bir uygulama farkı içerir.

Gelişme, tehdit aktörlerinin enfeksiyon zincirini büyük ölçüde dokunulmadan bırakırken araçlarını aktif olarak güncellediklerinin bir işareti ve kampanyanın etkinliğinin devam eden bir işareti.

Güney Kore, BT Çalışanı Dolandırıcılığı Nedeniyle 15 Kuzey Koreliye Yaptırım Uyguladı

Ayrıca, Güney Kore Dışişleri Bakanlığı'nın (MoFA), Kuzey Kore'ye geri dönebilecek, veri çalabilecek ve hatta bazı durumlarda fidye talep edebilecek sabit bir gelir kaynağı oluşturmak için yasadışı bir şekilde düzenli bir gelir kaynağı oluşturmak için kuzeydeki muadili tarafından düzenlenen sahte bir BT çalışanı planıyla bağlantılı olarak 15 kişiye ve bir kuruluşa yaptırım uyguladığı sırada geldi.

Ünlü Chollima tehdit kümesinin de içeriden gelen tehdit operasyonunun arkasında olduğunu gösteren kanıtlar var. Ayrıca Nikel Goblen, UNC5267 ve Wagemole gibi çeşitli isimlerle de anılır.

Yaptırım uygulanan 15 kişiden biri olan Kim Ryu Song, bu ayın başlarında ABD Adalet Bakanlığı (DoJ) tarafından, yaptırımları ihlal etmek ve elektronik dolandırıcılık, kara para aklama ve kimlik hırsızlığı yapmak için uzun süredir devam eden bir komploya dahil olduğu iddiasıyla suçlandı.

Ayrıca, Batılı şirketlerde serbest veya tam zamanlı işler sağlayarak rejim için fon sağlamak üzere Çin, Rusya, Güneydoğu Asya ve Afrika'ya çok sayıda BT personeli göndermekle suçlanan Chosun Geumjeong Ekonomik Bilgi Teknolojileri Değişim Şirketi de MoFA tarafından yaptırım uygulanıyor.

Bu BT çalışanlarının, Kore İşçi Partisi'nin Mühimmat Endüstrisi Departmanına bağlı bir kuruluş olan 313. Genel Büro'nun bir parçası olduğu söyleniyor.

"313. Genel Büro [...] birçok Kuzey Koreli BT personelini denizaşırı ülkelere gönderiyor ve kazanılan dövizi nükleer ve füze geliştirme için fon sağlamak için kullanıyor ve ayrıca askeri sektör için yazılım geliştirmede yer alıyor" dedi.

"Kuzey Kore'nin yasadışı siber faaliyetleri, yalnızca siber ekosistemin güvenliğini tehdit eden suç eylemleri değil, aynı zamanda Kuzey Kore'nin nükleer ve füze gelişimi için fon olarak kullanıldığı için uluslararası barış ve güvenlik için ciddi bir tehdit oluşturuyor."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.