- Lazarus Group, geliştiricileri hedef alan Bulaşıcı Röportaj kampanyasında kötü amaçlı yazılımları barındırmak için JSON depolama hizmetlerini kullandı
- Saldırganlar, BeaverTail, InvisibleFerret ve TsunamiKit kötü amaçlı yazılımlarını dağıtarak sahte LinkedIn iş teklifleri yoluyla kurbanları cezbetti
- Kötü amaçlı yazılım verileri sızdırıyor, kripto çalıyor ve Monero madenciliği yapıyor; aynı zamanda normal geliştirme iş akışlarına karışıyor
Kuzey Kore devleti destekli tehdit aktörleri, kötü şöhretli saldırıların bir parçası Lazarus GrubuJSON depolama hizmetlerinde kötü amaçlı yazılım ve diğer kötü amaçlı kodları barındırdığı görüldü.
Siber güvenlik araştırmacıları NVISIO, saldırılarında görünmez kalmak ve ısrarcı olmak amacıyla JSON Keeper, JSONsilo ve npoint.io kullanan saldırganlar gördüklerini belirtti.
Saldırılar Bulaşıcı Röportaj kampanyasının bir parçası gibi görünüyor. Burada kötü niyetli kişiler önce sahte LinkedIn profilleri oluşturup cazip iş teklifleriyle yazılım geliştiricilere ulaşıyor ya da bir kodlama projesi için yardım istiyorlardı. Bu gidiş-geliş sırasında dolandırıcılar kurbanlardan GitHub, GitLab veya Bitbucket’ten bir demo projesi indirmelerini istiyordu.
Bilgi hırsızlarını ve arka kapıları dağıtma
Şimdi NVISIO, projelerden birinde Base64 kodlu bir değer bulduğunu ve bunun bir API anahtarı gibi görünse de aslında bir JSON depolama hizmetinin URL’si olduğunu söyledi. Depoda bilgi hırsızı BeaverTail’i buldular kötü amaçlı yazılım ve InvisibleFerret ve TsunamiKit adlı Python arka kapısını bırakan bir yükleyici.
İkincisi, Python ve .NET ile yazılmış, bilgi hırsızı veya XMRig’i tehlikeye atılan cihaza yükleyen ve onu Monero para birimini çıkarmaya zorlayan bir kripto korsan olarak hizmet edebilen çok aşamalı bir kötü amaçlı yazılım araç setidir. Bazı araştırmacılar ayrıca BeaverTrail’in Tropidoor ve AkdoorTea’yı kullandığını gördüklerini söyledi.
Araştırmacılar, “Bulaşıcı Röportajın arkasındaki aktörlerin geride kalmadıkları ve kendileri için ilginç görünebilecek herhangi bir (yazılım) geliştiriciyi tehlikeye atmak için çok geniş bir ağ oluşturmaya çalıştıkları ve bunun sonucunda hassas verilerin ve kripto cüzdan bilgilerinin sızmasıyla sonuçlandığı açık” diye uyardı.
“JSON Keeper, JSON Silo ve npoint.io gibi meşru web sitelerinin yanı sıra GitLab ve GitHub gibi kod depolarının kullanılması, aktörün motivasyonunun ve gizlice çalışmaya ve normal trafiğe uyum sağlamaya yönelik sürekli girişimlerinin altını çiziyor.”
Aracılığıyla Hacker Haberleri
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin Video biçimindeki haberler, incelemeler ve kutu açma işlemleri için bizden düzenli güncellemeler alın WhatsApp fazla.