09 Eyl, 2024

Kuzey Koreli Tehdit Aktörleri LinkedIn Dolandırıcılığı Yoluyla COVERTCATCH Kötü Amaçlı Yazılımlarını Dağıtıyor

Kuzey-Koreli-Tehdit-Aktörleri-LinkedIn-Dolandırıcılığı-Yoluyla-COVERTCATCH-Kötü-Amaçlı-Yazılımlarını-DağıtıyorKuzey Kore ile bağlantılı tehdit aktörlerinin, sahte iş alım operasyonları kapsamında geliştiricileri hedef almak için LinkedIn’i kullandıkları gözlemlendi.

Bu saldırılar, Web3 sektörünün karşı karşıya kaldığı tehditlerle ilgili Google’a ait Mandiant tarafından hazırlanan yeni bir raporda, genellikle kodlama testlerini ilk enfeksiyon vektörü olarak kullanıyor.

Araştırmacılar Robert Wallace, Blas Kojusner ve Joseph Dobson, “İlk sohbetin ardından saldırgan, Python kodlama testi olarak gizlenmiş COVERTCATCH adlı bir kötü amaçlı yazılım içeren bir ZIP dosyası gönderdi” dedi.

Bu kötü amaçlı yazılım, hedefin macOS sistemini tehlikeye atmak için ikinci aşama yükü indirerek Launch Agents ve Launch Daemons aracılığıyla kalıcılık sağlamayı amaçlayan bir platform olarak işlev görüyor.

Siber güvenlik açısından, bu durumun Kuzey Koreli hacker gruplarının, hedefleri kötü amaçlı yazılımlarla enfekte etmek için işle ilgili yemler kullandığı Operation Dream Job, Contagious Interview ve diğer birçok aktivite kümesinden sadece biri olduğu belirtilmelidir.

İşe alım temalı tuzaklar, RustBucket ve KANDYKORN gibi kötü amaçlı yazılım ailelerini yaymak için de yaygın bir taktik olmuştur. Şu anda COVERTCATCH’in bu türlerle ya da yeni tanımlanan TodoSwift ile herhangi bir bağlantısı olup olmadığı net değil.

Kuzey-Koreli-Tehdit-Aktörleri-LinkedIn-Dolandırıcılığı-Yoluyla-COVERTCATCH-Kötü-Amaçlı-Yazılımlarını-Dağıtıyor2RustBucket implantı, temel sistem bilgilerini toplamak, komut satırı üzerinden sağlanan bir URL ile iletişim kurmak ve sabit kodlanmış bir komuta kontrol (C2) alanıyla bağlantı kurmak için “Safari Update” olarak kamufle edilmiş bir Launch Agent kullanarak kalıcılık sağlamak için donatılmıştır.

Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.




İçerik Hakkında:
Kuzey Kore ile bağlantılı tehdit aktörlerinin, sahte iş alım operasyonlarıyla LinkedIn üzerinden geliştiricileri hedef alarak, COVERTCATCH adlı kötü amaçlı yazılımı Python kodlama testi gibi gösterip dağıttıkları tespit edildi. Bu saldırılar, genellikle Web3 sektörünü hedef alıyor ve Mandiant raporunda detaylandırılıyor. Detaylar içeriğimizde.
Sosyal Medyada Paylaş:
Facebook
Twitter
LinkedIn
Telegram

İlgili Yazılar