Basın Bülteni- ESET, Kuzey Koreli hackerların sosyal mühendislik yöntemleriyle kripto para hırsızlığını raporladı

Siber güvenlik çözümlerinde dünya lideri ESET, birbirleriyle sıkı bağları olduğu
düşünülen DeceptiveDevelopment tehdit grubu ve Kuzey Koreli BT çalışanlarının
faaliyetlerine ilişkin ayrıntılı bir rapor yayımladı. Analiz edilen kampanyalar,
sahte iş görüşmeleri ve ClickFix tekniği gibi sofistike sosyal mühendislik taktiklerine
dayanarak kötü amaçlı yazılım dağıtmak ve kripto para birimlerini çalmak
için kullanılıyor, olası bir ikincil hedef olarak siber casusluk da bulunuyor.
ESET ayrıca sahte istihdam planlarına karışan Kuzey Koreli BT çalışanlarının
faaliyetlerine ışık tutan OSINT verilerini de analiz etti.

ESET Research, son yıllarda giderek daha aktif hâle gelen ve Kuzey Kore ile bağlantılı
bir tehdit grubu olan Contagious Interview olarak da bilinen DeceptiveDevelopment
hakkında yeni bulgular yayımladı. Grup, öncelikle kripto para hırsızlığına
odaklanıyor, Windows, Linux ve macOS platformlarında çalışan serbest geliştiricileri
hedef alıyor. Yeni yayımlanan araştırma makalesi, grubun ilk kötü amaçlı
yazılım ailelerinden daha gelişmiş araç setlerine kadar geçirdiği evrimi
izliyor. Bu kampanyalar, kötü amaçlı yazılımları dağıtmak ve kripto para birimlerini
çalmak için sahte iş görüşmeleri ve ClickFix tekniği gibi sofistike sosyal
mühendislik taktiklerine dayanıyor. ESET, sahte istihdam planlarına karışan Kuzey
Koreli BT çalışanlarının faaliyetleri ve DeceptiveDevelopment ile olan bağlantıları
hakkında bilgi veren açık kaynak istihbarat (OSINT) verilerini de analiz
etti. Bulgular yıllık Virus Bulletin (VB) Konferansı'nda sunuldu.

DeceptiveDevelopment, en az 2023 yılından beri aktif olan, finansal kazanç odaklı,
Kuzey Kore ile bağlantılı bir grup. Grup, Windows, Linux ve macOS gibi tüm büyük
sistemlerdeki yazılım geliştiricileri ve özellikle kripto para birimi ve Web3
projelerinde çalışanları hedef alıyor. İlk erişim, ClickFix gibi çeşitli sosyal
mühendislik teknikleri ve Lazarus'un Operation DreamJob operasyonuna benzer
sahte işe alım profilleri aracılığıyla sahte iş görüşmeleri sırasında trojanize
kod tabanları sunmak suretiyle sağlanıyor. En tipik yükleri BeaverTail, OtterCookie
ve WeaselStore bilgi hırsızları ile InvisibleFerret modüler RAT.

Araştırmanın yazarlarından Peter Kálnai, DeceptiveDevelopment operatörleri, Lazarus'un
DreamJob operasyonuna benzer bir şekilde sosyal medyada sahte işe alım
profilleri kullanıyor. Ancak bu durumda, özellikle yazılım geliştiricilere, genellikle
kripto para birimi projelerinde yer alanlara ulaşarak sahte iş görüşmesi
sürecinin bir parçası olarak arka kapılar yerleştiren trojanize kod tabanlarını
potansiyel kurbanlara sağladılar. Tüm bu faaliyetlerin arkasındaki kişiler,
geniş çaplı operasyonlar ve son derece yaratıcı sosyal mühendislik için yüksek
düzeyde teknik sofistike yöntemler kullanıyor. Kötü amaçlı yazılımları çoğunlukla
basit olmasına rağmen teknoloji konusunda bilgili hedefleri bile tuzağa düşürmeyi
başarıyorlar açıklamasını yaptı.

Saldırganlar, akıllı sosyal mühendislik hilelerine dayanarak kullanıcıları tehlikeye
atmak için çeşitli yöntemler seçtiler. Sahte ve ele geçirilmiş profiller aracılığıyla
LinkedIn, Upwork, Freelancer.com ve Crypto Jobs List gibi platformlarda
işveren gibi davranıyorlar. Hedeflerinin ilgisini çekmek için sahte ve kazançlı
iş fırsatları sunuyorlar. Kurbanlardan bir kodlama yarışmasına veya ön görüşme
görevine katılmaları isteniyor.

Sahte işe alım hesaplarının yanı sıra saldırganlar ClickFix adlı sosyal mühendislik
yöntemini özelleştirip geliştirmişler. Kurbanlar sahte bir iş görüşmesi sitesine
çekilir ve ayrıntılı bir başvuru formu doldurmaları istenir, bu da önemli
miktarda zaman ve çaba gerektirir. Son adımda, bir video yanıt kaydetmeleri istenir
ancak site bir kamera hatası görüntüler ve Nasıl düzeltilir bağlantısı
sunar. Bu bağlantı, kullanıcılara bir terminal açmalarını ve kamera veya mikrofon
sorununu çözmesi gereken bir komutu kopyalamalarını söyler. Ancak bu komut sorunu
çözmek yerine kötü amaçlı yazılım indirip çalıştırır.

DeceptiveDevelopment'a yönelik araştırmalar öncelikle ESET telemetri verilerine
ve grubun araç setinin tersine mühendisliğine dayansa da bunun Kuzey Koreli BT
çalışanlarının dolandırıcılık faaliyetleriyle olan bağlantılarına dikkat çekmek
ilginç. FBI'ın En Çok Arananlar posterine göre, BT çalışanları kampanyası en
azından Nisan 2017'den beri devam etmekte ve son yıllarda giderek daha fazla öne
çıkmaktadır. Mayıs 2022'de yayımlanan ortak bir bildiride, BT çalışanları kampanyası,
Kuzey Kore ile bağlantılı çalışanların yurt dışı şirketlerde iş bulmak
için koordineli bir çaba olarak tanımlanıyor ve bu çalışanların maaşları daha
sonra rejimin finansmanı için kullanılıyor. FBI'ın Ocak 2025'teki açıklamasında
belirtildiği gibi, bu çalışanların şirket içi verileri çaldıkları ve bunları
şantaj için kullandıkları da biliniyor.

ESET Research'ün mevcut OSINT verilerinden, sahte özgeçmişlerden ve diğer ilgili
materyallerden elde ettiği bilgilere göre, BT çalışanları ağırlıklı olarak Batı'da,
özellikle de Amerika Birleşik Devletleri'nde istihdam ve sözleşmeli çalışmaya
odaklanıyor. Ancak elde edilen materyallere dayanan bulgularımız, Fransa,
Polonya, Ukrayna ve Arnavutluk gibi ülkeleri hedef alan, Avrupa'ya doğru bir kayma
olduğunu gösteriyor. Çalışanlar, iş görevlerini yerine getirmek için yapay
zekâyı kullanıyor ve profil resimlerinde ve özgeçmişlerinde fotoğrafları manipüle
etmek için yapay zekâya büyük ölçüde güveniyor. Hatta gerçek zamanlı video görüşmelerinde
yüz değiştirme işlemi yaparak şu anda kullandıkları kişiliğe benziyorlar.
Çeşitli sosyal mühendislik teknikleri için Zoom, MiroTalk, FreeConference
veya Microsoft Teams gibi uzaktan görüşme platformlarını kullanıyorlar. Proxy
mülakatlar, işverenler için ciddi bir risk oluşturmakta çünkü yaptırım uygulanan
bir ülkeden yasa dışı bir çalışanı işe almak sadece sorumsuzluk veya düşük
performansla sonuçlanmakla kalmayıp, aynı zamanda tehlikeli bir iç tehdide de
dönüşebilir.

Kálnai, Kuzey Koreli BT çalışanlarının faaliyetleri, karma bir tehdit oluşturmaktadır.
Bu sahtecilik planı, kimlik hırsızlığı ve sentetik kimlik sahtekârlığı
gibi klasik suç faaliyetlerini dijital araçlarla birleştirerek hem geleneksel suç
hem de siber suç olarak sınıflandırılmaktadır yorumunda bulunuyor.

DeceptiveDevelopment: İlkel kripto hırsızlığından sofistike AI tabanlı aldatmacaya
başlıklı araştırma makalesi, grubun iki amiral gemisi araç seti olan InvisibleFerret
ve BeaverTail'in gelişimini özetliyor. Aynı zamanda, DeceptiveDevelopment'ın
Tropidoor arka kapısı ile Lazarus grubu tarafından kullanılan PostNapTea
RAT arasında yeni keşfedilen bağlantıları da ortaya koyuyor. Ayrıca DeceptiveDevelopment
tarafından kullanılan yeni araç setleri olan TsunamiKit ve WeaselStore'un
kapsamlı bir analizini sunar ve WeaselStore C&C sunucusunun ve API'sının
işlevselliğini belgeler.


-iDeal Haber Merkezi-
- twitter.com/iDealDataHaber // www.idealdata.com.tr -