Uydurma iş teklifinin gerisinden kripto para hırsızlığı çıkıyor

Siber güvenlik çözümlerinde dünya lideri ESET, birbirleriyle sıkı bağları olduğu düşünülen DeceptiveDevelopment tehdit kümesi ve Kuzey Koreli BT çalışanlarının faaliyetlerine ait detaylı bir rapor yayımladı. Tahlil edilen kampanyalar, geçersiz iş görüşmeleri ve ClickFix tekniği üzere sofistike toplumsal mühendislik taktiklerine dayanarak makus maksatlı yazılım dağıtmak ve kripto para ünitelerini çalmak için kullanılıyor; muhtemel bir ikincil gaye olarak siber casusluk da bulunuyor. ESET ayrıyeten düzmece istihdam planlarına karışan Kuzey Koreli BT çalışanlarının faaliyetlerine ışık tutan OSINT bilgilerini de tahlil etti.

ESET Research, son yıllarda giderek daha faal hâle gelen ve Kuzey Kore ile kontaklı bir tehdit kümesi olan Contagious Interview olarak da bilinen DeceptiveDevelopment hakkında yeni bulgular yayımladı. Küme, öncelikle kripto para hırsızlığına odaklanıyor; Windows, Linux ve macOS platformlarında çalışan hür geliştiricileri gaye alıyor. Yeni yayımlanan araştırma makalesi, kümenin birinci makus emelli yazılım ailelerinden daha gelişmiş araç setlerine kadar geçirdiği evrimi izliyor. Bu kampanyalar, makus gayeli yazılımları dağıtmak ve kripto para ünitelerini çalmak için geçersiz iş görüşmeleri ve ClickFix tekniği üzere sofistike toplumsal mühendislik taktiklerine dayanıyor. ESET, uydurma istihdam planlarına karışan Kuzey Koreli BT çalışanlarının faaliyetleri ve DeceptiveDevelopment ile olan ilişkileri hakkında bilgi veren açık kaynak istihbarat (OSINT) datalarını de tahlil etti. Bulgular yıllık Virus Bulletin (VB) Konferansı’nda sunuldu.

DeceptiveDevelopment, en az 2023 yılından beri faal olan; finansal çıkar odaklı, Kuzey Kore ile temaslı bir küme. Küme, Windows, Linux ve macOS üzere tüm büyük sistemlerdeki yazılım geliştiricileri ve bilhassa kripto para ünitesi ve Web3 projelerinde çalışanları gaye alıyor. Birinci erişim, ClickFix üzere çeşitli toplumsal mühendislik teknikleri ve Lazarus’un Operation DreamJob operasyonuna emsal uydurma işe alım profilleri aracılığıyla uydurma iş görüşmeleri sırasında trojanize kod tabanları sunmak suretiyle sağlanıyor. En tipik yükleri BeaverTail, OtterCookie ve WeaselStore bilgi hırsızları ile InvisibleFerret modüler RAT.

Araştırmanın müelliflerinden Peter Kálnai; “DeceptiveDevelopment operatörleri, Lazarus’un DreamJob operasyonuna emsal bir formda toplumsal medyada geçersiz işe alım profilleri kullanıyor. Lakin bu durumda, bilhassa yazılım geliştiricilere, ekseriyetle kripto para ünitesi projelerinde yer alanlara ulaşarak düzmece iş görüşmesi sürecinin bir modülü olarak art kapılar yerleştiren trojanize kod tabanlarını potansiyel kurbanlara sağladılar. Tüm bu faaliyetlerin gerisindeki şahıslar, geniş çaplı operasyonlar ve son derece yaratıcı toplumsal mühendislik için yüksek seviyede teknik sofistike yollar kullanıyor. Makus maksatlı yazılımları çoğunlukla kolay olmasına karşın teknoloji konusunda bilgili amaçları bile tuzağa düşürmeyi başarıyorlar” açıklamasını yaptı.  

Saldırganlar, akıllı toplumsal mühendislik hilelerine dayanarak kullanıcıları tehlikeye atmak için çeşitli sistemler seçtiler. Geçersiz ve ele geçirilmiş profiller aracılığıyla LinkedIn, Upwork, Freelancer.com ve Crypto Jobs List üzere platformlarda patron üzere davranıyorlar. Amaçlarının ilgisini çekmek için uydurma ve yararlı iş fırsatları sunuyorlar. Kurbanlardan bir kodlama müsabakasına yahut ön görüşme misyonuna katılmaları isteniyor.  

Sahte işe alım hesaplarının yanı sıra saldırganlar ClickFix isimli toplumsal mühendislik prosedürünü özelleştirip geliştirmişler. Kurbanlar geçersiz bir iş görüşmesi sitesine çekilir ve detaylı bir müracaat formu doldurmaları istenir, bu da kıymetli ölçüde vakit ve efor gerektirir. Son adımda, bir görüntü karşılık kaydetmeleri istenir fakat site bir kamera yanlışı imajlar ve “Nasıl düzeltilir” teması sunar. Bu ilişki, kullanıcılara bir terminal açmalarını ve kamera yahut mikrofon meselesini çözmesi gereken bir komutu kopyalamalarını söyler. Lakin bu komut sorunu çözmek yerine berbat hedefli yazılım indirip çalıştırır.

DeceptiveDevelopment’a yönelik araştırmalar öncelikle ESET telemetri datalarına ve kümenin araç setinin bilakis mühendisliğine dayansa da bunun Kuzey Koreli BT çalışanlarının dolandırıcılık faaliyetleriyle olan kontaklarına dikkat çekmek değişik. FBI’ın “En Çok Arananlar” posterine nazaran, BT çalışanları kampanyası en azından Nisan 2017’den beri devam etmekte ve son yıllarda giderek daha fazla öne çıkmaktadır. Mayıs 2022’de yayımlanan ortak bir bildiride, BT çalışanları kampanyası, Kuzey Kore ile kontaklı çalışanların yurt dışı şirketlerde iş bulmak için koordineli bir efor olarak tanımlanıyor ve bu çalışanların maaşları daha sonra rejimin finansmanı için kullanılıyor. FBI’ın Ocak 2025’teki açıklamasında belirtildiği üzere, bu çalışanların şirket içi bilgileri çaldıkları ve bunları şantaj için kullandıkları da biliniyor. 

ESET Research’ün mevcut OSINT datalarından, düzmece özgeçmişlerden ve öteki ilgili gereçlerden elde ettiği bilgilere nazaran, BT çalışanları yüklü olarak Batı’da, bilhassa de Amerika Birleşik Devletleri’nde istihdam ve kontratlı çalışmaya odaklanıyor. Lakin elde edilen malzemelere dayanan bulgularımız, Fransa, Polonya, Ukrayna ve Arnavutluk üzere ülkeleri maksat alan, Avrupa’ya hakikat bir kayma olduğunu gösteriyor. Çalışanlar, iş misyonlarını yerine getirmek için yapay zekâyı kullanıyor ve profil fotoğraflarında ve özgeçmişlerinde fotoğrafları manipüle etmek için yapay zekâya büyük ölçüde güveniyor. Hatta gerçek vakitli görüntü görüşmelerinde yüz değiştirme süreci yaparak şu anda kullandıkları kişiliğe benziyorlar. Çeşitli toplumsal mühendislik teknikleri için Zoom, MiroTalk, FreeConference yahut Microsoft Teams üzere uzaktan görüşme platformlarını kullanıyorlar. Proxy mülakatlar, patronlar için önemli bir risk oluşturmakta zira yaptırım uygulanan bir ülkeden yasa dışı bir çalışanı işe almak yalnızca sorumsuzluk yahut düşük performansla sonuçlanmakla kalmayıp, tıpkı vakitte tehlikeli bir iç tehdide de dönüşebilir. 

Kálnai, “Kuzey Koreli BT çalışanlarının faaliyetleri, karma bir tehdit oluşturmaktadır. Bu sahtecilik planı, kimlik hırsızlığı ve sentetik kimlik sahtekârlığı üzere klasik cürüm faaliyetlerini dijital araçlarla birleştirerek hem klâsik kabahat hem de siber cürüm olarak sınıflandırılmaktadır” yorumunda bulunuyor.

“DeceptiveDevelopment: İlkel kripto hırsızlığından sofistike AI tabanlı aldatmacaya” başlıklı araştırma makalesi, kümenin iki amiral gemisi araç seti olan InvisibleFerret ve BeaverTail’in gelişimini özetliyor. Birebir vakitte, DeceptiveDevelopment’ın Tropidoor art kapısı ile Lazarus kümesi tarafından kullanılan PostNapTea RAT ortasında yeni keşfedilen temasları da ortaya koyuyor. Ayrıyeten DeceptiveDevelopment tarafından kullanılan yeni araç setleri olan TsunamiKit ve WeaselStore’un kapsamlı bir tahlilini sunar ve WeaselStore C&C sunucusunun ve API’sının fonksiyonelliğini belgeler. 

Kaynak: (BYZHA) Beyaz Haber Ajansı