Kuzey Koreli Hackerlar, RustDoor Kötü Amaçlı Yazılımıyla LinkedIn'deki Kripto Para Kullanıcılarını Hedefliyor

En son danışmanlık, STON.fi adlı meşru bir merkezi olmayan kripto para borsası (DEX) için işe alım görevlisi olduğunu iddia ederek bir kullanıcının profesyonel sosyal ağda temasa geçildiği bir saldırı girişimini tespit ettiğini söyleyen Jamf Threat Labs'tan geliyor.

Kötü niyetli siber faaliyet, Kore Demokratik Halk Cumhuriyeti (KDHC) tarafından desteklenen siber tehdit aktörleri tarafından röportaj yapma veya ödevleri kodlama bahanesiyle çıkar ağlarına sızmak için başlatılan çok yönlü bir kampanyanın parçasıdır.

Finans ve kripto para sektörleri, yasadışı gelirler elde etmek ve rejimin çıkarlarına dayalı olarak sürekli gelişen bir dizi hedefi karşılamak isteyen devlet destekli düşmanlar için en önemli hedefler arasında yer alıyor.

Bu saldırılar, ABD Federal Soruşturma Bürosu (FBI) tarafından yakın zamanda bir danışma belgesinde vurgulandığı üzere, merkezi olmayan finans ("DeFi"), kripto para birimi ve benzeri işletmelerin çalışanlarını hedef alan "son derece özelleştirilmiş, tespit edilmesi zor sosyal mühendislik kampanyaları" şeklinde ortaya çıkıyor.

Kuzey Kore sosyal mühendislik faaliyetinin dikkate değer göstergelerinden biri, şirkete ait cihazlarda veya bir şirketin dahili ağına erişimi olan cihazlarda kod yürütme veya uygulama indirme talepleriyle ilgilidir.

Bahsetmeye değer bir başka husus da, bu tür saldırıların "standart olmayan veya bilinmeyen Node.js paketleri, PyPI paketleri, betikler veya GitHub depolarının yürütülmesini içeren bir 'istihdam öncesi test' veya hata ayıklama alıştırması yürütme taleplerini" de içermesidir.

Bu tür taktikleri içeren örnekler son haftalarda kapsamlı bir şekilde belgelendi ve bu kampanyalarda hedeflere karşı kullanılan araçların kalıcı bir şekilde geliştiğinin altını çizdi.

Jamf tarafından algılanan en son saldırı zinciri, kurbanı, aynı işlevselliğe sahip iki farklı ikinci aşama yükünü ("VisualStudioHelper" ve "zsh_env") indirmek için bash komutları içeren sözde bir kodlama zorluğunun parçası olarak bubi tuzaklı bir Visual Studio projesini indirmesi için kandırmayı gerektirir.

Bu ikinci aşama kötü amaçlı yazılım, şirketin Thiefbucket olarak izlediği RustDoor'dur. Yazma itibariyle, kötü amaçlı yazılımdan koruma motorlarının hiçbiri sıkıştırılmış kodlama test dosyasını kötü amaçlı olarak işaretlemedi. 7 Ağustos 2024 tarihinde VirusTotal platformuna yüklenmiştir.

Araştırmacılar Jaron Bradley ve Ferdous Saljooki, "İki ayrı kötü amaçlı yazılım örneğine gömülü yapılandırma dosyaları, VisualStudioHelper'ın cron aracılığıyla devam edeceğini, zsh_env ise zshrc dosyası aracılığıyla devam edeceğini gösteriyor" dedi.

Bir macOS arka kapısı olan RustDoor, ilk olarak Şubat 2024'te Bitdefender tarafından kripto para firmalarını hedef alan bir kötü amaçlı yazılım kampanyasıyla bağlantılı olarak belgelendi. S2W tarafından yapılan bir sonraki analiz, Windows makinelerine virüs bulaştırmak için tasarlanmış GateDoor adlı bir Golang varyantını ortaya çıkardı.

Jamf'den elde edilen bulgular, yalnızca kötü amaçlı yazılımın ilk kez resmi olarak Kuzey Koreli tehdit aktörlerine atfedildiğini işaret ettiği için değil, aynı zamanda kötü amaçlı yazılımın Objective-C ile yazıldığı gerçeği için de önemlidir.

Jamf Threat Labs Direktörü Jaron Bradley, verdiği demeçte, "[Kampanyada] kullanılan taktikler ve teknikler, FBI'ın ve sektördeki diğer birçok kişinin gördükleriyle çok yakından ilişkili" dedi.

"Tartışılan saldırının hedeflerinin, tekniklerinin ve hedeflerinin çoğu, son birkaç yılda Kuzey Kore'den gelen diğer siber faaliyetlerle yakından uyumludur (Dream Job Operasyonu, RustBucket)."

VisualStudioHelper ayrıca yapılandırmada belirtilen dosyaları toplayarak bir bilgi hırsızı olarak hareket edecek şekilde tasarlanmıştır, ancak yalnızca kullanıcıdan şüphe uyandırmamak için Visual Studio uygulamasından geliyormuş gibi göstererek sistem parolasını girmesini istedikten sonra.

Bununla birlikte, her iki yük de bir arka kapı olarak çalışır ve komuta ve kontrol (C2) iletişimi için iki farklı sunucu kullanır.

Araştırmacılar, "Tehdit aktörleri, kripto endüstrisindekileri takip etmenin yeni yollarını bulma konusunda tetikte kalmaya devam ediyor" dedi. "Geliştiricileriniz de dahil olmak üzere çalışanlarınızı, sosyal medyada bağlantı kuranlara güvenmekte tereddüt etmeleri ve kullanıcılardan her türlü yazılımı çalıştırmalarını istemeleri konusunda eğitmeniz önemlidir.

"DPRK tarafından gerçekleştirilen bu sosyal mühendislik planları, İngilizce'yi iyi bilen ve hedeflerini iyi araştırmış olan konuşmaya girenlerden geliyor."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği