Siber güvenlik çözümlerinde dünya lideri ESET, birbirleriyle sıkı bağları olduğu düşünülen DeceptiveDevelopment tehdit kümesi ve Kuzey Koreli BT çalışanlarının faaliyetlerine ait detaylı bir rapor yayımladı. Tahlil edilen kampanyalar, düzmece iş görüşmeleri ve ClickFix tekniği üzere sofistike toplumsal mühendislik taktiklerine dayanarak berbat emelli yazılım dağıtmak ve kripto para ünitelerini çalmak için kullanılıyor; mümkün bir ikincil gaye olarak siber casusluk da bulunuyor. ESET ayrıyeten uydurma istihdam planlarına karışan Kuzey Koreli BT çalışanlarının faaliyetlerine ışık tutan OSINT datalarını de tahlil etti.
ESET Research, son yıllarda giderek daha faal hâle gelen ve Kuzey Kore ile irtibatlı bir tehdit kümesi olan Contagious Interview olarak da bilinen DeceptiveDevelopment hakkında yeni bulgular yayımladı. Küme, öncelikle kripto para hırsızlığına odaklanıyor; Windows, Linux ve macOS platformlarında çalışan hür geliştiricileri amaç alıyor. Yeni yayımlanan araştırma makalesi, kümenin birinci makus gayeli yazılım ailelerinden daha gelişmiş araç setlerine kadar geçirdiği evrimi izliyor. Bu kampanyalar, makus maksatlı yazılımları dağıtmak ve kripto para ünitelerini çalmak için uydurma iş görüşmeleri ve ClickFix tekniği üzere sofistike toplumsal mühendislik taktiklerine dayanıyor. ESET, uydurma istihdam planlarına karışan Kuzey Koreli BT çalışanlarının faaliyetleri ve DeceptiveDevelopment ile olan temasları hakkında bilgi veren açık kaynak istihbarat (OSINT) datalarını de tahlil etti. Bulgular yıllık Virus Bulletin (VB) Konferansı’nda sunuldu.
DeceptiveDevelopment, en az 2023 yılından beri etkin olan; finansal yarar odaklı, Kuzey Kore ile temaslı bir küme. Küme, Windows, Linux ve macOS üzere tüm büyük sistemlerdeki yazılım geliştiricileri ve bilhassa kripto para ünitesi ve Web3 projelerinde çalışanları gaye alıyor. Birinci erişim, ClickFix üzere çeşitli toplumsal mühendislik teknikleri ve Lazarus’un Operation DreamJob operasyonuna benzeri geçersiz işe alım profilleri aracılığıyla uydurma iş görüşmeleri sırasında trojanize kod tabanları sunmak suretiyle sağlanıyor. En tipik yükleri BeaverTail, OtterCookie ve WeaselStore bilgi hırsızları ile InvisibleFerret modüler RAT.
Araştırmanın müelliflerinden Peter Kálnai; “DeceptiveDevelopment operatörleri, Lazarus’un DreamJob operasyonuna emsal bir halde toplumsal medyada geçersiz işe alım profilleri kullanıyor. Lakin bu durumda, bilhassa yazılım geliştiricilere, çoklukla kripto para ünitesi projelerinde yer alanlara ulaşarak düzmece iş görüşmesi sürecinin bir modülü olarak art kapılar yerleştiren trojanize kod tabanlarını potansiyel kurbanlara sağladılar. Tüm bu faaliyetlerin gerisindeki şahıslar, geniş çaplı operasyonlar ve son derece yaratıcı toplumsal mühendislik için yüksek seviyede teknik sofistike sistemler kullanıyor. Makûs emelli yazılımları çoğunlukla kolay olmasına karşın teknoloji konusunda bilgili maksatları bile tuzağa düşürmeyi başarıyorlar” açıklamasını yaptı.
Saldırganlar, akıllı toplumsal mühendislik hilelerine dayanarak kullanıcıları tehlikeye atmak için çeşitli teknikler seçtiler. Geçersiz ve ele geçirilmiş profiller aracılığıyla LinkedIn, Upwork, Freelancer.com ve Crypto Jobs List üzere platformlarda patron üzere davranıyorlar. Maksatlarının ilgisini çekmek için düzmece ve çıkarlı iş fırsatları sunuyorlar. Kurbanlardan bir kodlama müsabakasına yahut ön görüşme vazifesine katılmaları isteniyor.
Sahte işe alım hesaplarının yanı sıra saldırganlar ClickFix isimli toplumsal mühendislik usulünü özelleştirip geliştirmişler. Kurbanlar uydurma bir iş görüşmesi sitesine çekilir ve detaylı bir müracaat formu doldurmaları istenir, bu da kıymetli ölçüde vakit ve uğraş gerektirir. Son adımda, bir görüntü cevap kaydetmeleri istenir lakin site bir kamera yanılgısı imgeler ve “Nasıl düzeltilir” ilişkisi sunar. Bu temas, kullanıcılara bir terminal açmalarını ve kamera yahut mikrofon meselesini çözmesi gereken bir komutu kopyalamalarını söyler. Lakin bu komut sorunu çözmek yerine makûs hedefli yazılım indirip çalıştırır.
DeceptiveDevelopment’a yönelik araştırmalar öncelikle ESET telemetri datalarına ve kümenin araç setinin bilakis mühendisliğine dayansa da bunun Kuzey Koreli BT çalışanlarının dolandırıcılık faaliyetleriyle olan temaslarına dikkat çekmek enteresan. FBI’ın “En Çok Arananlar” posterine nazaran, BT çalışanları kampanyası en azından Nisan 2017’den beri devam etmekte ve son yıllarda giderek daha fazla öne çıkmaktadır. Mayıs 2022’de yayımlanan ortak bir bildiride, BT çalışanları kampanyası, Kuzey Kore ile temaslı çalışanların yurt dışı şirketlerde iş bulmak için koordineli bir efor olarak tanımlanıyor ve bu çalışanların maaşları daha sonra rejimin finansmanı için kullanılıyor. FBI’ın Ocak 2025’teki açıklamasında belirtildiği üzere, bu çalışanların şirket içi dataları çaldıkları ve bunları şantaj için kullandıkları da biliniyor.
ESET Research’ün mevcut OSINT bilgilerinden, düzmece özgeçmişlerden ve öbür ilgili malzemelerden elde ettiği bilgilere nazaran, BT çalışanları yüklü olarak Batı’da, bilhassa de Amerika Birleşik Devletleri’nde istihdam ve kontratlı çalışmaya odaklanıyor. Lakin elde edilen malzemelere dayanan bulgularımız, Fransa, Polonya, Ukrayna ve Arnavutluk üzere ülkeleri gaye alan, Avrupa’ya yanlışsız bir kayma olduğunu gösteriyor. Çalışanlar, iş vazifelerini yerine getirmek için yapay zekâyı kullanıyor ve profil fotoğraflarında ve özgeçmişlerinde fotoğrafları manipüle etmek için yapay zekâya büyük ölçüde güveniyor. Hatta gerçek vakitli görüntü görüşmelerinde yüz değiştirme süreci yaparak şu anda kullandıkları kişiliğe benziyorlar. Çeşitli toplumsal mühendislik teknikleri için Zoom, MiroTalk, FreeConference yahut Microsoft Teams üzere uzaktan görüşme platformlarını kullanıyorlar. Proxy mülakatlar, patronlar için önemli bir risk oluşturmakta zira yaptırım uygulanan bir ülkeden yasa dışı bir çalışanı işe almak yalnızca sorumsuzluk yahut düşük performansla sonuçlanmakla kalmayıp, birebir vakitte tehlikeli bir iç tehdide de dönüşebilir.
Kálnai, “Kuzey Koreli BT çalışanlarının faaliyetleri, karma bir tehdit oluşturmaktadır. Bu sahtecilik planı, kimlik hırsızlığı ve sentetik kimlik sahtekârlığı üzere klasik kabahat faaliyetlerini dijital araçlarla birleştirerek hem klâsik hata hem de siber cürüm olarak sınıflandırılmaktadır” yorumunda bulunuyor.
“DeceptiveDevelopment: İlkel kripto hırsızlığından sofistike AI tabanlı aldatmacaya” başlıklı araştırma makalesi, kümenin iki amiral gemisi araç seti olan InvisibleFerret ve BeaverTail’in gelişimini özetliyor. Tıpkı vakitte, DeceptiveDevelopment’ın Tropidoor art kapısı ile Lazarus kümesi tarafından kullanılan PostNapTea RAT ortasında yeni keşfedilen ilişkileri da ortaya koyuyor. Ayrıyeten DeceptiveDevelopment tarafından kullanılan yeni araç setleri olan TsunamiKit ve WeaselStore’un kapsamlı bir tahlilini sunar ve WeaselStore C&C sunucusunun ve API’sının fonksiyonelliğini belgeler.
Kaynak: (BYZHA) Beyaz Haber Ajansı
