Kuzey Koreli Hackerlar, Kötü Amaçlı Yazılım Kampanyalarında İş Bulan ve Arayan Kişi Gibi Davranıyor - Dünyadan Güncel Teknoloji Haberleri

Kuzey Koreli Hackerlar, Kötü Amaçlı Yazılım Kampanyalarında İş Bulan ve Arayan Kişi Gibi Davranıyor - Dünyadan Güncel Teknoloji Haberleri

Öte yandan dolandırıcılık amaçlı iş arama faaliyeti, çeşitli milletlerden bireylerin kimliğine bürünen sahte kimliklere sahip özgeçmişleri barındırmak için GitHub deposunun kullanılmasını içeriyor Sonuç olarak, bu GitHub hesapları meşru hesaplardan neredeyse ayırt edilemez ”



siber-2

söylediği gibi alıntılandı Wagemole kampanyasının ayrıntılarını da paylaşan Reuters’e

Etkinlik kümeleri, Palo Alto Networks Birim 42 tarafından sırasıyla Bulaşıcı Röportaj ve Wagemole kod adlarına sahiptir

Bu, Kuzey Koreli tehdit aktörlerinin npm ve PyPI’deki sahte modülleri kötüye kullandığı ilk sefer değil Bu hesaplar, sık kod güncellemelerini ve diğer geliştiricilerle sosyalleşmeyi gösteriyor “Ayrıca Wagemole, içerideki kişilerin hedeflenen şirketlere yerleştirilmesi fırsatını temsil ediyor sızma özellikleri

Siber güvenlik şirketi, “Bazı özgeçmişlerde LinkedIn profiline bağlantılar ve GitHub içeriğine bağlantılar yer alıyor” dedi

Saldırılar, Jade Sleet olarak bilinen, aynı zamanda TraderTraitor ve UNC4899 olarak da adlandırılan başka bir kümeye atfedildi ve o zamandan bu yana aynı zamanlarda gerçekleşen JumpCloud hack’inde de rol oynadı

JavaScript implantı BeaverTail, web tarayıcılarından ve kripto cüzdanlarından hassas bilgileri çalma ve parmak izi alma, uzaktan kontrol, keylogging ve veri özelliklerine sahip Python tabanlı bir arka kapı olan InvisibleFerret dahil olmak üzere ek yükler sunma yetenekleriyle birlikte gelen bir hırsız ve yükleyicidir

Siber güvenlik şirketi, “İlk kampanyanın amacı büyük ihtimalle kripto para hırsızlığı yapmak ve tehlikeye atılmış hedefleri ek saldırılar için hazırlık ortamı olarak kullanmaktır” dedi


22 Kasım 2023Haber odasıSiber Casusluk / Sosyal Mühendislik

Kuzey Koreli tehdit aktörleri, kötü amaçlı yazılım dağıtmak ve ABD ve dünyanın diğer yerlerindeki kuruluşlarda izinsiz istihdam elde etmek için hem iş arayan hem de işe alım görevlisi kılığına girdikleri iki kampanyayla ilişkilendirildi

İzinsiz giriş setinin, çalışanlara potansiyel iş teklifleriyle yaklaşmayı ve çevrimiçi bir röportajın parçası olarak GitHub’da barındırılan kötü amaçlı bir npm paketini indirmeleri için onları kandırmayı içeren, daha önce bildirilen Operasyon Rüya İşi adlı Kuzey Kore tehdit faaliyetiyle taktiksel örtüşmeleri paylaştığını belirtmekte fayda var

Unit 42, “Yazılım geliştiricileri genellikle tedarik zinciri saldırılarının en zayıf halkasıdır ve hileli iş teklifleri devam eden bir endişedir, bu nedenle Contagious Interview’dan faaliyetlerin devam etmesini bekliyoruz” dedi

İlk saldırı dizisi “kurgusal bir iş görüşmesi yoluyla yazılım geliştiricilere kötü amaçlı yazılım bulaştırmayı” amaçlarken, ikincisi finansal kazanç ve casusluk için tasarlandı söz konusu

Wagehole’un keşfi, ABD hükümetinin, Kuzey Kore’nin dünya çapında çeşitli şirketlerde iş bulan ve ücretlerini ülkenin silah programlarını finanse etmek için geri aktaran yüksek vasıflı BT çalışanlarından oluşan bir orduyu göndererek yaptırımları delmek için yaptığı hileyi açığa vuran yakın tarihli bir tavsiyesini yansıtıyor

Birim 42, “Tehdit aktörü muhtemelen paketi kurbana incelenecek veya analiz edilecek bir yazılım olarak sunuyor, ancak paket aslında kurbanın ana bilgisayarına arka kapı kötü amaçlı yazılım bulaştırmak için tasarlanmış kötü amaçlı JavaScript içeriyor” dedi

Contagious Interview saldırıları, BeaverTail ve InvisibleFerret adlı, Windows, Linux ve macOS sistemlerinde çalışabilen, şimdiye kadar belgelenmemiş iki platformlar arası kötü amaçlı yazılımın önünü açıyor

“Bu GitHub hesapları bakımlı görünüyor ve uzun bir etkinlik geçmişine sahip

Aynı zamanda aşağıdakileri de takip eder: yeni saldırı kampanyası Kuzey Kore bağlantılı Andariel grubu (Lazarus’un bir başka alt unsuru) tarafından, Güney Kore varlık yönetimi yazılımı kullanılarak tedarik zinciri saldırılarının yanı sıra savunmasız MS-SQL sunucularına sızarak Black RAT, Lilith RAT, NukeSped ve TigerRAT sunmak için düzenlendi Haziran sonu ve Temmuz 2023’te Phylum ve GitHub, bir GitHub projesinde işbirliği yapma kisvesi altında sahte bir npm paketi kurmak amacıyla teknoloji firmalarında çalışan çalışanların kişisel hesaplarını hedefleyen bir sosyal mühendislik kampanyasını ayrıntılı olarak açıkladı

Gelişme Kuzey Kore’ye benziyor talep edildi Bu yılın mayıs ve ağustos aylarındaki iki başarısız denemenin ardından askeri casus uyduyu başarıyla uzaya fırlattığını söyledi ”

Yakın zamanda ayrılan Kuzey Koreli bir BT çalışanı, “İşe alınana kadar yılda 20 ila 50 sahte profil oluşturuyorduk” dedi

InvisibleFerret ayrıca uzaktan erişim için aktör kontrollü bir sunucudan AnyDesk istemcisini indirmek üzere tasarlanmıştır

Bu ayın başlarında Microsoft, Sapphire Sleet (diğer adıyla BlueNoroff) olarak adlandırılan kötü şöhretli Lazarus Grubu alt kümesinin, sosyal mühendislik kampanyalarının bir parçası olarak beceri değerlendirme portallarını taklit eden yeni bir altyapı kurduğu konusunda uyardı