Siber güvenlik çözümlerinde dünya lideri ESET, birbirleriyle sıkı bağları olduğu düşünülen DeceptiveDevelopment tehdit kümesi ve Kuzey Koreli BT çalışanlarının faaliyetlerine ait detaylı bir rapor yayımladı. Tahlil edilen kampanyalar, geçersiz iş görüşmeleri ve ClickFix tekniği üzere sofistike toplumsal mühendislik taktiklerine dayanarak berbat gayeli yazılım dağıtmak ve kripto para ünitelerini çalmak için kullanılıyor; muhtemel bir ikincil amaç olarak siber casusluk da bulunuyor. ESET ayrıyeten düzmece istihdam planlarına karışan Kuzey Koreli BT çalışanlarının faaliyetlerine ışık tutan OSINT bilgilerini de tahlil etti.
ESET Research, son yıllarda giderek daha faal hâle gelen ve Kuzey Kore ile ilişkili bir tehdit kümesi olan Contagious Interview olarak da bilinen DeceptiveDevelopment hakkında yeni bulgular yayımladı. Küme, öncelikle kripto para hırsızlığına odaklanıyor; Windows, Linux ve macOS platformlarında çalışan özgür geliştiricileri amaç alıyor. Yeni yayımlanan araştırma makalesi, kümenin birinci berbat emelli yazılım ailelerinden daha gelişmiş araç setlerine kadar geçirdiği evrimi izliyor. Bu kampanyalar, berbat hedefli yazılımları dağıtmak ve kripto para ünitelerini çalmak için uydurma iş görüşmeleri ve ClickFix tekniği üzere sofistike toplumsal mühendislik taktiklerine dayanıyor. ESET, düzmece istihdam planlarına karışan Kuzey Koreli BT çalışanlarının faaliyetleri ve DeceptiveDevelopment ile olan ilişkileri hakkında bilgi veren açık kaynak istihbarat (OSINT) datalarını de tahlil etti. Bulgular yıllık Virus Bulletin (VB) Konferansı’nda sunuldu.
DeceptiveDevelopment, en az 2023 yılından beri etkin olan; finansal çıkar odaklı, Kuzey Kore ile irtibatlı bir küme. Küme, Windows, Linux ve macOS üzere tüm büyük sistemlerdeki yazılım geliştiricileri ve bilhassa kripto para ünitesi ve Web3 projelerinde çalışanları gaye alıyor. Birinci erişim, ClickFix üzere çeşitli toplumsal mühendislik teknikleri ve Lazarus’un Operation DreamJob operasyonuna benzeri uydurma işe alım profilleri aracılığıyla düzmece iş görüşmeleri sırasında trojanize kod tabanları sunmak suretiyle sağlanıyor. En tipik yükleri BeaverTail, OtterCookie ve WeaselStore bilgi hırsızları ile InvisibleFerret modüler RAT.
Araştırmanın muharrirlerinden Peter Kálnai; “DeceptiveDevelopment operatörleri, Lazarus’un DreamJob operasyonuna benzeri bir biçimde toplumsal medyada uydurma işe alım profilleri kullanıyor. Fakat bu durumda, bilhassa yazılım geliştiricilere, çoklukla kripto para ünitesi projelerinde yer alanlara ulaşarak uydurma iş görüşmesi sürecinin bir kesimi olarak art kapılar yerleştiren trojanize kod tabanlarını potansiyel kurbanlara sağladılar. Tüm bu faaliyetlerin ardındaki şahıslar, geniş çaplı operasyonlar ve son derece yaratıcı toplumsal mühendislik için yüksek seviyede teknik sofistike yollar kullanıyor. Makus maksatlı yazılımları çoğunlukla kolay olmasına karşın teknoloji konusunda bilgili maksatları bile tuzağa düşürmeyi başarıyorlar” açıklamasını yaptı.
Saldırganlar, akıllı toplumsal mühendislik hilelerine dayanarak kullanıcıları tehlikeye atmak için çeşitli usuller seçtiler. Düzmece ve ele geçirilmiş profiller aracılığıyla LinkedIn, Upwork, Freelancer.com ve Crypto Jobs List üzere platformlarda patron üzere davranıyorlar. Maksatlarının ilgisini çekmek için düzmece ve yararlı iş fırsatları sunuyorlar. Kurbanlardan bir kodlama yarışına yahut ön görüşme misyonuna katılmaları isteniyor.
Sahte işe alım hesaplarının yanı sıra saldırganlar ClickFix isimli toplumsal mühendislik metodunu özelleştirip geliştirmişler. Kurbanlar geçersiz bir iş görüşmesi sitesine çekilir ve detaylı bir müracaat formu doldurmaları istenir, bu da değerli ölçüde vakit ve efor gerektirir. Son adımda, bir görüntü cevap kaydetmeleri istenir lakin site bir kamera kusuru imajlar ve “Nasıl düzeltilir” teması sunar. Bu temas, kullanıcılara bir terminal açmalarını ve kamera yahut mikrofon problemini çözmesi gereken bir komutu kopyalamalarını söyler. Lakin bu komut sorunu çözmek yerine makûs hedefli yazılım indirip çalıştırır.
DeceptiveDevelopment’a yönelik araştırmalar öncelikle ESET telemetri bilgilerine ve kümenin araç setinin bilakis mühendisliğine dayansa da bunun Kuzey Koreli BT çalışanlarının dolandırıcılık faaliyetleriyle olan ilişkilerine dikkat çekmek değişik. FBI’ın “En Çok Arananlar” posterine nazaran, BT çalışanları kampanyası en azından Nisan 2017’den beri devam etmekte ve son yıllarda giderek daha fazla öne çıkmaktadır. Mayıs 2022’de yayımlanan ortak bir bildiride, BT çalışanları kampanyası, Kuzey Kore ile irtibatlı çalışanların yurt dışı şirketlerde iş bulmak için koordineli bir uğraş olarak tanımlanıyor ve bu çalışanların maaşları daha sonra rejimin finansmanı için kullanılıyor. FBI’ın Ocak 2025’teki açıklamasında belirtildiği üzere, bu çalışanların şirket içi bilgileri çaldıkları ve bunları şantaj için kullandıkları da biliniyor.
ESET Research’ün mevcut OSINT bilgilerinden, uydurma özgeçmişlerden ve öbür ilgili malzemelerden elde ettiği bilgilere nazaran, BT çalışanları yüklü olarak Batı’da, bilhassa de Amerika Birleşik Devletleri’nde istihdam ve kontratlı çalışmaya odaklanıyor. Lakin elde edilen gereçlere dayanan bulgularımız, Fransa, Polonya, Ukrayna ve Arnavutluk üzere ülkeleri amaç alan, Avrupa’ya hakikat bir kayma olduğunu gösteriyor. Çalışanlar, iş misyonlarını yerine getirmek için yapay zekâyı kullanıyor ve profil fotoğraflarında ve özgeçmişlerinde fotoğrafları manipüle etmek için yapay zekâya büyük ölçüde güveniyor. Hatta gerçek vakitli görüntü görüşmelerinde yüz değiştirme süreci yaparak şu anda kullandıkları kişiliğe benziyorlar. Çeşitli toplumsal mühendislik teknikleri için Zoom, MiroTalk, FreeConference yahut Microsoft Teams üzere uzaktan görüşme platformlarını kullanıyorlar. Proxy mülakatlar, patronlar için önemli bir risk oluşturmakta zira yaptırım uygulanan bir ülkeden yasa dışı bir çalışanı işe almak yalnızca sorumsuzluk yahut düşük performansla sonuçlanmakla kalmayıp, birebir vakitte tehlikeli bir iç tehdide de dönüşebilir.
Kálnai, “Kuzey Koreli BT çalışanlarının faaliyetleri, karma bir tehdit oluşturmaktadır. Bu sahtecilik planı, kimlik hırsızlığı ve sentetik kimlik sahtekârlığı üzere klasik hata faaliyetlerini dijital araçlarla birleştirerek hem klasik kabahat hem de siber hata olarak sınıflandırılmaktadır” yorumunda bulunuyor.
“DeceptiveDevelopment: İlkel kripto hırsızlığından sofistike AI tabanlı aldatmacaya” başlıklı araştırma makalesi, kümenin iki amiral gemisi araç seti olan InvisibleFerret ve BeaverTail’in gelişimini özetliyor. Birebir vakitte, DeceptiveDevelopment’ın Tropidoor art kapısı ile Lazarus kümesi tarafından kullanılan PostNapTea RAT ortasında yeni keşfedilen irtibatları da ortaya koyuyor. Ayrıyeten DeceptiveDevelopment tarafından kullanılan yeni araç setleri olan TsunamiKit ve WeaselStore’un kapsamlı bir tahlilini sunar ve WeaselStore C&C sunucusunun ve API’sının fonksiyonelliğini belgeler.
Kaynak: (BYZHA) Beyaz Haber Ajansı
