Siber güvenlik şirketi ESET, Kuzey Kore bağlantılı DeceptiveDevelopment’ın bilgi hırsızları ve serbest çalışan geliştiricileri hedef aldığını keşfetti. DeceptiveDevelopment, iş bulma ve serbest çalışma sitelerinde bir sosyal mühendislik saldırı türü olan spearphishing yoluyla serbest çalışan yazılım geliştiricileri hedef alıyor ve tarayıcılardan ve parola yöneticilerinden kripto para cüzdanlarını ve giriş bilgilerini çalmayı amaçlıyor. DeceptiveDevelopment’ın farklı ülkelerde tuzağa düşürdüğü kurbanlarının bulunduğu ülkeler arasında Türkiye’de yer alıyor.
ESET , 2024’ten bu yana Kuzey Kore bağlantılı bir dizi kötü niyetli faaliyet gözlemledi. Bu faaliyetlerde yazılım geliştirme alanında çalışan kişiler gibi davranan operatörler, kurbanları sahte iş teklifleriyle kandırıyor. Daha sonra, bilgi hırsızlığı yapan kötü amaçlı yazılımları gizleyen yazılım projeleriyle hedeflerine hizmet etmeye çalışıyorlar. ESET Research bu faaliyeti DeceptiveDevelopment kümesi olarak adlandırıyor. Kuzey Kore bağlantılı bu faaliyet şu anda ESET tarafından bilinen herhangi bir tehdit aktörüne atfedilmiyor. İş bulma ve serbest çalışma sitelerinde hedef şaşırtma yoluyla serbest çalışan yazılım geliştiricileri hedef alıyor. Kripto para cüzdanlarını, tarayıcılardan ve parola yöneticilerinden giriş bilgilerini çalmayı amaçlıyor.
DeceptiveDevelopment’ı keşfeden ve analiz eden ESET araştırmacısı Matěj Havránek şu açıklamayı yaptı: “Sahte iş görüşmesi sürecinin bir parçası olarak, DeceptiveDevelopment operatörleri hedeflerinden mevcut bir projeye bir özellik eklemek gibi bir kodlama testi yapmalarını istiyor ve görev için gerekli dosyalar genellikle GitHub veya diğer benzer platformlardaki özel depolarda barındırılıyor. Ne yazık ki hevesli iş adayı için bu dosyalar truva atına dönüştürülmüştür: Projeyi indirip çalıştırdıklarında kurbanın bilgisayarı tehlikeye giriyor. DeceptiveDevelopment kümesi, Kuzey Kore’ye bağlı aktörler tarafından halihazırda kullanılan geniş bir para kazanma planları koleksiyonuna bir ektir ve odağı geleneksel paradan kripto para birimlerine kaydırma eğilimine uymaktadır.”
DeceptiveDevelopment’ın taktikleri, teknikleri ve prosedürleri Kuzey Kore’ye bağlı olduğu bilinen diğer bazı operasyonlarla benzerlik gösteriyor. DeceptiveDevelopment’ın arkasındaki operatörler Windows, Linux ve macOS üzerindeki yazılım geliştiricilerini hedef alıyor. Kripto para birimini öncelikle finansal kazanç için çalıyorlar, olası bir ikincil amaçları da siber casusluk. Bu operatörler hedeflerine yaklaşmak için sosyal medyada sahte işe alım profilleri kullanıyor. Saldırganlar coğrafi konuma göre ayrım yapmazlar, bunun yerine başarılı bir şekilde fon ve bilgi elde etme olasılığını artırmak için mümkün olduğunca çok sayıda kurbanı tehlikeye atmayı amaçlarlar.
DeceptiveDevelopment, faaliyetlerinin bir parçası olarak öncelikle iki aşamada sunulan iki kötü amaçlı yazılım ailesi kullanır. İlk aşamada, BeaverTail (bilgi hırsızı, indirici) basit bir oturum açma hırsızı olarak hareket eder, kayıtlı oturum açma bilgilerini içeren tarayıcı veri tabanlarını çıkarır. İkinci aşama için bir indirici olarak, casus yazılım ve arka kapı bileşenleri içeren InvisibleFerret (bilgi hırsızı, RAT) ve ayrıca uzlaşma sonrası faaliyetler için yasal AnyDesk uzaktan yönetim ve izleme yazılımını indirebilir.
Saldırganlar, işe alım görevlisi gibi davranmak için mevcut kişilerin profillerini kopyalamakta ve hatta yeni kişilikler oluşturmaktadır. Daha sonra potansiyel kurbanlarına iş arama ve serbest çalışma platformlarında doğrudan yaklaşıyor ya da buralarda sahte iş ilanları yayımlıyorlar. Bu profillerden bazıları saldırganların kendileri tarafından oluşturulurken diğerleri de platformdaki gerçek kişilerin saldırganlar tarafından değiştirilmiş potansiyel olarak tehlikeye atılmış profilleridir.
Bu etkileşimlerin gerçekleştiği platformlardan bazıları genel iş arama platformları iken diğerleri öncelikle kripto para birimi ve blok zinciri projelerine odaklanıyor ve bu nedenle saldırganların hedeflerine daha uygun. Bu platformlar arasında LinkedIn, Upwork, Freelancer.com, We Work Remotely, Moonlight ve Crypto Jobs List yer alıyor.
Mağdurlar proje dosyalarını ya doğrudan sitedeki dosya aktarımı yoluyla ya da GitHub, GitLab veya Bitbucket gibi bir depoya bağlantı yoluyla alırlar. Dosyaları indirmeleri, özellikler eklemeleri veya hataları düzeltmeleri ve işe alan kişiye geri bildirimde bulunmaları istenir. Ek olarak, test etmek için projeyi oluşturmaları ve yürütmeleri talimatı verilir, bu da ilk tehlikenin gerçekleştiği yerdir. Saldırganlar genellikle kötü amaçlı kodlarını gizlemek için akıllıca bir numara kullanırlar: Kodu, genellikle geliştiriciye verilen görevle ilgisi olmayan arka uç kodu içinde, projenin başka türlü zararsız bir bileşenine yerleştirir ve uzun bir yorumun arkasına tek bir satır olarak eklerler. Bu şekilde, ekranın dışına taşınır ve çoğunlukla gizli kalır.
