İlginç istatistik, serbest çalışanlar hedef haline geliyor

Siber güvenlik şirketi ESET, Kuzey Kore bağlantılı
DeceptiveDevelopment’ın bilgi hırsızları ve serbest çalışan
geliştiricileri hedef aldığını keşfetti. DeceptiveDevelopment, iş
bulma ve serbest çalışma sitelerinde  bir sosyal mühendislik
saldırı türü
olan spearphishing yoluyla
serbest çalışan yazılım geliştiricileri hedef alıyor ve
tarayıcılardan ve parola yöneticilerinden kripto para cüzdanlarını
ve giriş bilgilerini çalmayı amaçlıyor. DeceptiveDevelopment’ın
farklı ülkelerde tuzağa düşürdüğü kurbanlarının bulunduğu ülkeler
arasında Türkiye’de yer alıyor. 

ESET , 2024’ten bu yana Kuzey Kore bağlantılı bir dizi kötü
niyetli faaliyet gözlemledi. Bu faaliyetlerde yazılım geliştirme
alanında çalışan kişiler gibi davranan operatörler, kurbanları
sahte iş teklifleriyle kandırıyor. Daha sonra, bilgi hırsızlığı
yapan kötü amaçlı yazılımları gizleyen yazılım projeleriyle
hedeflerine hizmet etmeye çalışıyorlar. ESET Research bu faaliyeti
DeceptiveDevelopment kümesi olarak adlandırıyor. Kuzey Kore
bağlantılı bu faaliyet şu anda ESET tarafından bilinen herhangi bir
tehdit aktörüne atfedilmiyor. İş bulma ve serbest çalışma
sitelerinde hedef şaşırtma yoluyla serbest çalışan yazılım
geliştiricileri hedef alıyor. Kripto para cüzdanlarını,
 tarayıcılardan ve parola yöneticilerinden giriş bilgilerini
çalmayı amaçlıyor.

DeceptiveDevelopment’ı keşfeden ve analiz eden ESET
araştırmacısı Matěj Havránek  şu açıklamayı yaptı: “Sahte iş
görüşmesi sürecinin bir parçası olarak, DeceptiveDevelopment
operatörleri hedeflerinden mevcut bir projeye bir özellik eklemek
gibi bir kodlama testi yapmalarını istiyor ve görev için gerekli
dosyalar genellikle GitHub veya diğer benzer platformlardaki özel
depolarda barındırılıyor. Ne yazık ki hevesli iş adayı için bu
dosyalar truva atına dönüştürülmüştür: Projeyi indirip
çalıştırdıklarında kurbanın bilgisayarı tehlikeye giriyor.
DeceptiveDevelopment kümesi, Kuzey Kore’ye bağlı aktörler
tarafından halihazırda kullanılan geniş bir para kazanma planları
koleksiyonuna bir ektir ve odağı geleneksel paradan kripto para
birimlerine kaydırma eğilimine uymaktadır.”

İlginç istatistik, serbest çalışanlar hedef haline geliyor

DeceptiveDevelopment’ın taktikleri, teknikleri ve prosedürleri
Kuzey Kore’ye bağlı olduğu bilinen diğer bazı operasyonlarla
benzerlik gösteriyor. DeceptiveDevelopment’ın arkasındaki
operatörler Windows, Linux ve macOS üzerindeki yazılım
geliştiricilerini hedef alıyor. Kripto para birimini öncelikle
finansal kazanç için çalıyorlar, olası bir ikincil amaçları da
siber casusluk. Bu operatörler hedeflerine yaklaşmak için sosyal
medyada sahte işe alım profilleri kullanıyor. Saldırganlar coğrafi
konuma göre ayrım yapmazlar, bunun yerine başarılı bir şekilde fon
ve bilgi elde etme olasılığını artırmak için mümkün olduğunca çok
sayıda kurbanı tehlikeye atmayı amaçlarlar.

DeceptiveDevelopment, faaliyetlerinin bir parçası olarak
öncelikle iki aşamada sunulan iki kötü amaçlı yazılım ailesi
kullanır. İlk aşamada, BeaverTail (bilgi hırsızı, indirici) basit
bir oturum açma hırsızı olarak hareket eder, kayıtlı oturum açma
bilgilerini içeren tarayıcı veri tabanlarını çıkarır. İkinci aşama
için bir indirici olarak, casus yazılım ve arka kapı bileşenleri
içeren InvisibleFerret (bilgi hırsızı, RAT) ve ayrıca uzlaşma
sonrası faaliyetler için yasal AnyDesk uzaktan yönetim ve izleme
yazılımını indirebilir. 

Saldırganlar, işe alım görevlisi gibi davranmak için mevcut
kişilerin profillerini kopyalamakta ve hatta yeni kişilikler
oluşturmaktadır. Daha sonra potansiyel kurbanlarına iş arama ve
serbest çalışma platformlarında doğrudan yaklaşıyor ya da buralarda
sahte iş ilanları yayımlıyorlar. Bu profillerden bazıları
saldırganların kendileri tarafından oluşturulurken diğerleri de
platformdaki gerçek kişilerin saldırganlar tarafından değiştirilmiş
potansiyel olarak tehlikeye atılmış profilleridir.

Bu etkileşimlerin gerçekleştiği platformlardan bazıları genel iş
arama platformları iken diğerleri öncelikle kripto para birimi ve
blok zinciri projelerine odaklanıyor ve bu nedenle saldırganların
hedeflerine daha uygun. Bu platformlar arasında LinkedIn, Upwork,
Freelancer.com, We Work Remotely, Moonlight ve Crypto Jobs List yer
alıyor.

Mağdurlar proje dosyalarını ya doğrudan sitedeki dosya aktarımı
yoluyla ya da GitHub, GitLab veya Bitbucket gibi bir depoya
bağlantı yoluyla alırlar. Dosyaları indirmeleri, özellikler
eklemeleri veya hataları düzeltmeleri ve işe alan kişiye geri
bildirimde bulunmaları istenir. Ek olarak, test etmek için projeyi
oluşturmaları ve yürütmeleri talimatı verilir, bu da ilk tehlikenin
gerçekleştiği yerdir. Saldırganlar genellikle kötü amaçlı kodlarını
gizlemek için akıllıca bir numara kullanırlar: Kodu, genellikle
geliştiriciye verilen görevle ilgisi olmayan arka uç kodu içinde,
projenin başka türlü zararsız bir bileşenine yerleştirir ve uzun
bir yorumun arkasına tek bir satır olarak eklerler. Bu şekilde,
ekranın dışına taşınır ve çoğunlukla gizli kalır.