Geçersiz iş teklifinin gerisinden kripto para hırsızlığı çıkıyor
Siber güvenlik çözümlerinde dünya lideri ESET, birbirleriyle sıkı bağları olduğu düşünülen DeceptiveDevelopment tehdit kümesi ve Kuzey Koreli BT çalışanlarının faaliyetlerine ait detaylı bir rapor yayımladı. Tahlil edilen kampanyalar, düzmece iş görüşmeleri ve ClickFix tekniği üzere sofistike toplumsal mühendislik taktiklerine dayanarak makus hedefli yazılım dağıtmak ve kripto para ünitelerini çalmak için kullanılıyor; mümkün bir ikincil maksat olarak siber casusluk da bulunuyor. ESET ayrıyeten geçersiz istihdam planlarına karışan Kuzey Koreli BT çalışanlarının faaliyetlerine ışık tutan OSINT datalarını de tahlil etti.ESET Research, son yıllarda giderek daha etkin hâle gelen ve Kuzey Kore ile irtibatlı bir tehdit kümesi olan Contagious Interview olarak da bilinen DeceptiveDevelopment hakkında yeni bulgular yayımladı. Küme, öncelikle kripto para hırsızlığına odaklanıyor; Windows, Linux ve macOS platformlarında çalışan hür geliştiricileri amaç alıyor. Yeni yayımlanan araştırma makalesi, kümenin birinci makûs emelli yazılım ailelerinden daha gelişmiş araç setlerine kadar geçirdiği evrimi izliyor. Bu kampanyalar, makus maksatlı yazılımları dağıtmak ve kripto para ünitelerini çalmak için uydurma iş görüşmeleri ve ClickFix tekniği üzere sofistike toplumsal mühendislik taktiklerine dayanıyor. ESET, uydurma istihdam planlarına karışan Kuzey Koreli BT çalışanlarının faaliyetleri ve DeceptiveDevelopment ile olan irtibatları hakkında bilgi veren açık kaynak istihbarat (OSINT) datalarını de tahlil etti. Bulgular yıllık Virus Bulletin (VB) Konferansı'nda sunuldu.DeceptiveDevelopment, en az 2023 yılından beri etkin olan; finansal yarar odaklı, Kuzey Kore ile temaslı bir küme. Küme, Windows, Linux ve macOS üzere tüm büyük sistemlerdeki yazılım geliştiricileri ve bilhassa kripto para ünitesi ve Web3 projelerinde çalışanları amaç alıyor. Birinci erişim, ClickFix üzere çeşitli toplumsal mühendislik teknikleri ve Lazarus'un Operation DreamJob operasyonuna benzeri düzmece işe alım profilleri aracılığıyla geçersiz iş görüşmeleri sırasında trojanize kod tabanları sunmak suretiyle sağlanıyor. En tipik yükleri BeaverTail, OtterCookie ve WeaselStore bilgi hırsızları ile InvisibleFerret modüler RAT.Araştırmanın müelliflerinden Peter Kálnai; "DeceptiveDevelopment operatörleri, Lazarus'un DreamJob operasyonuna benzeri bir biçimde toplumsal medyada uydurma işe alım profilleri kullanıyor. Fakat bu durumda, bilhassa yazılım geliştiricilere, ekseriyetle kripto para ünitesi projelerinde yer alanlara ulaşarak uydurma iş görüşmesi sürecinin bir modülü olarak art kapılar yerleştiren trojanize kod tabanlarını potansiyel kurbanlara sağladılar. Tüm bu faaliyetlerin gerisindeki şahıslar, geniş çaplı operasyonlar ve son derece yaratıcı toplumsal mühendislik için yüksek seviyede teknik sofistike formüller kullanıyor. Berbat hedefli yazılımları çoğunlukla kolay olmasına karşın teknoloji konusunda bilgili gayeleri bile tuzağa düşürmeyi başarıyorlar" açıklamasını yaptı. Saldırganlar, akıllı toplumsal mühendislik hilelerine dayanarak kullanıcıları tehlikeye atmak için çeşitli formüller seçtiler. Düzmece ve ele geçirilmiş profiller aracılığıyla LinkedIn, Upwork, Freelancer.com ve Crypto Jobs List üzere platformlarda patron üzere davranıyorlar. Maksatlarının ilgisini çekmek için geçersiz ve yararlı iş fırsatları sunuyorlar. Kurbanlardan bir kodlama müsabakasına yahut ön görüşme vazifesine katılmaları isteniyor. Sahte işe alım hesaplarının yanı sıra saldırganlar ClickFix isimli toplumsal mühendislik prosedürünü özelleştirip geliştirmişler. Kurbanlar geçersiz bir iş görüşmesi sitesine çekilir ve detaylı bir müracaat formu doldurmaları istenir, bu da kıymetli ölçüde vakit ve gayret gerektirir. Son adımda, bir görüntü karşılık kaydetmeleri istenir lakin site bir kamera yanılgısı imajlar ve "Nasıl düzeltilir" ilişkisi sunar. Bu temas, kullanıcılara bir terminal açmalarını ve kamera yahut mikrofon meselesini çözmesi gereken bir komutu kopyalamalarını söyler. Lakin bu komut sorunu çözmek yerine makûs gayeli yazılım indirip çalıştırır.DeceptiveDevelopment’a yönelik araştırmalar öncelikle ESET telemetri bilgilerine ve kümenin araç setinin bilakis mühendisliğine dayansa da bunun Kuzey Koreli BT çalışanlarının dolandırıcılık faaliyetleriyle olan ilişkilerine dikkat çekmek enteresan. FBI'ın "En Çok Arananlar" posterine nazaran, BT çalışanları kampanyası en azından Nisan 2017'den beri devam etmekte ve son yıllarda giderek daha fazla öne çıkmaktadır. Mayıs 2022'de yayımlanan ortak bir bildiride, BT çalışanları kampanyası, Kuzey Kore ile kontaklı çalışanların yurt dışı şirketlerde iş bulmak için koordineli bir efor olarak tanımlanıyor ve bu çalışanların maaşları daha sonra rejimin finansmanı için kullanılıyor. FBI'ın Ocak 2025'teki açıklamasında belirtildiği üzere, bu çalışanların şirket içi bilgileri çaldıkları ve bunları şantaj için kullandıkları da biliniyor. ESET Research'ün mevcut OSINT bilgilerinden, uydurma özgeçmişlerden ve başka ilgili gereçlerden elde ettiği bilgilere nazaran, BT çalışanları yüklü olarak Batı'da, bilhassa de Amerika Birleşik Devletleri'nde istihdam ve kontratlı çalışmaya odaklanıyor. Lakin elde edilen gereçlere dayanan bulgularımız, Fransa, Polonya, Ukrayna ve Arnavutluk üzere ülkeleri maksat alan, Avrupa'ya gerçek bir kayma olduğunu gösteriyor. Çalışanlar, iş misyonlarını yerine getirmek için yapay zekâyı kullanıyor ve profil fotoğraflarında ve özgeçmişlerinde fotoğrafları manipüle etmek için yapay zekâya büyük ölçüde güveniyor. Hatta gerçek vakitli görüntü görüşmelerinde yüz değiştirme süreci yaparak şu anda kullandıkları kişiliğe benziyorlar. Çeşitli toplumsal mühendislik teknikleri için Zoom, MiroTalk, FreeConference yahut Microsoft Teams üzere uzaktan görüşme platformlarını kullanıyorlar. Proxy mülakatlar, patronlar için önemli bir risk oluşturmakta zira yaptırım uygulanan bir ülkeden yasa dışı bir çalışanı işe almak yalnızca sorumsuzluk yahut düşük performansla sonuçlanmakla kalmayıp, birebir vakitte tehlikeli bir iç tehdide de dönüşebilir. Kálnai, "Kuzey Koreli BT çalışanlarının faaliyetleri, karma bir tehdit oluşturmaktadır. Bu sahtecilik planı, kimlik hırsızlığı ve sentetik kimlik sahtekârlığı üzere klasik hata faaliyetlerini dijital araçlarla birleştirerek hem klâsik kabahat hem de siber kabahat olarak sınıflandırılmaktadır" yorumunda bulunuyor."DeceptiveDevelopment: İlkel kripto hırsızlığından sofistike AI tabanlı aldatmacaya" başlıklı araştırma makalesi, kümenin iki amiral gemisi araç seti olan InvisibleFerret ve BeaverTail'in gelişimini özetliyor. Tıpkı vakitte, DeceptiveDevelopment'ın Tropidoor art kapısı ile Lazarus kümesi tarafından kullanılan PostNapTea RAT ortasında yeni keşfedilen irtibatları da ortaya koyuyor. Ayrıyeten DeceptiveDevelopment tarafından kullanılan yeni araç setleri olan TsunamiKit ve WeaselStore'un kapsamlı bir tahlilini sunar ve WeaselStore C&C sunucusunun ve API'sının fonksiyonelliğini belgeler. Kaynak: (BYZHA) Beyaz Haber Ajansı