Bulgular, saldırganın potansiyel hedeflerle ilişkiler kurmak ve güven oluşturmak için X ve Mastodon gibi sosyal medya platformlarında sahte hesaplar açtığını tespit eden Google Tehdit Analiz Grubu‘ndan geldi.
Güvenlik araştırmacıları Clement Lecigne ve Maddie Stone, “Bir vakada, bir güvenlik araştırmacısıyla ortak ilgi alanlarına ilişkin konularda işbirliği yapmaya çalışarak aylarca süren bir görüşme sürdürdüler” dedi. Sosyal mühendislik uygulaması sonuçta popüler bir yazılım paketinde en az bir sıfır gün içeren kötü amaçlı bir dosyanın yolunu açıyor. Yük, bir dizi anti-sanal makine (VM) kontrolü gerçekleştirir ve toplanan bilgileri bir ekran görüntüsüyle birlikte saldırganın kontrolündeki bir sunucuya geri iletiyor.
Bu, Kuzey Koreli hackerların kurbanlara hastalık bulaştırmak için işbirliği temalı tuzaklardan yararlandığı ilk sefer değil. Temmuz 2023’te GitHub, TraderTraitor olarak takip edilen düşmanların, diğerlerinin yanı sıra siber güvenlik sektörünü hedef almak için sahte kişiler kullandığı bir npm kampanyasının ayrıntılarını açıkladı.
Microsoft’un sahibi olduğu şirket o dönemde “Bir hedefle temas kurduktan sonra, tehdit aktörü hedefi bir GitHub deposu üzerinde işbirliği yapmaya davet ediyor ve hedefi içeriğini klonlayıp yürütmeye ikna ediyor” dedi.
Google TAG ayrıca saldırganlar tarafından geliştirilen ve potansiyel ikincil enfeksiyon vektörü olarak GitHub’da barındırılan “GetSymbol” adlı bağımsız bir Windows aracı da bulduğunu söyledi.
Eylül 2022’de kod barındırma hizmetinde yayınlanan ve kaldırılmadan önce birkaç kez güncellenen hileli yazılım, “tersine mühendisler için Microsoft, Google, Mozilla ve Citrix sembol sunucularından hata ayıklama sembollerini indirme” olanağı sunuyor. Ancak aynı zamanda bir komut ve kontrol (C2) alanından isteğe bağlı kod indirme ve yürütme yeteneğiyle birlikte geliyor.
Açıklama, AhnLab Güvenlik Acil Durum Müdahale Merkezi’nin, ScarCruft olarak bilinen Kuzey Koreli Hacker grubunun, hassas verileri toplayabilen ve kötü niyetli talimatları yürütebilen bir arka kapı sunmak için kimlik avı e-postalarında LNK dosyası tuzaklarından yararlandığını ortaya çıkarmasıyla geldi. Bu aynı zamanda Microsoft’un “çok sayıda Kuzey Koreli tehdit aktörünün yakın zamanda Rus hükümetini ve savunma sanayisini muhtemelen istihbarat toplamak için hedef alırken, aynı zamanda Ukrayna’ya karşı savaşında Rusya’ya maddi destek sağladığı” yönündeki yeni bulgularını da takip ediyor.
Rus savunma şirketlerinin hedef alındığı geçen ay SentinelOne tarafından da vurgulanmıştı; hem Lazarus Group’un (diğer adıyla Diamond Sleet veya Labyrinth Chollima) hem de ScarCruft’un, bir Rus füze mühendisliği firması olan NPO Mashinostroyeniya’yı kolaylaştırmayı amaçlayan ihlalleri ortaya çıkıyor.
İki aktörün, Kasım 2022’den Ocak 2023’e kadar Almanya ve İsrail merkezli silah üretim şirketlerine sızdıkları, ayrıca Rusya’daki bir havacılık araştırma enstitüsünün yanı sıra Brezilya, Çekya, Finlandiya, İtalya, Norveç ve İtalya’daki savunma şirketlerini tehlikeye attıkları da gözlemlendi.
Teknoloji devi, “Bu, Kuzey Kore hükümetinin, ülkenin askeri yeteneklerini geliştirmek için yüksek öncelikli toplama gereksinimlerini karşılamak üzere aynı anda birden fazla tehdit aktörü grubunu görevlendirdiğini gösteriyor” dedi.
Bu sadece siber casusluk değil. Bu haftanın başlarında, ABD Federal Soruşturma Bürosu (FBI), çevrimiçi bir kumarhane ve bahis platformu olan Stake.com’dan 41 milyon dolarlık sanal para hırsızlığının arkasında Lazarus Grubunu suçladı .
Stake.com’dan Ethereum, Binance Smart Chain (BSC) ve Polygon ağlarıyla ilişkili çalınan fonların 4 Eylül 2023’te veya buna yakın bir tarihte 33 farklı cüzdana taşındığı belirtildi.