Eset Research, son yıllarda giderek daha aktif hâle gelen ve Kuzey Kore ile bağlantılı bir tehdit grubu olan Contagious Interview olarak da bilinen DeceptiveDevelopment hakkında yeni bulgular yayımladı. Grup, öncelikle kripto para hırsızlığına odaklanıyor; Windows, Linux ve macOS platformlarında çalışan serbest geliştiricileri hedef alıyor. Yeni yayımlanan araştırma makalesi, grubun ilk kötü amaçlı yazılım ailelerinden daha gelişmiş araç setlerine kadar geçirdiği evrimi izliyor. Bu kampanyalar, kötü amaçlı yazılımları dağıtmak ve kripto para birimlerini çalmak için sahte iş görüşmeleri ve ClickFix tekniği gibi sofistike sosyal mühendislik taktiklerine dayanıyor. Eset, sahte istihdam planlarına karışan Kuzey Koreli BT çalışanlarının faaliyetleri ve DeceptiveDevelopment ile olan bağlantıları hakkında bilgi veren açık kaynak istihbarat (OSINT) verilerini de analiz etti. Bulgular yıllık Virus Bulletin (VB) Konferansı’nda sunuldu.
DeceptiveDevelopment, en az 2023 yılından beri aktif olan; finansal kazanç odaklı, Kuzey Kore ile bağlantılı bir grup. Grup, Windows, Linux ve macOS gibi tüm büyük sistemlerdeki yazılım geliştiricileri ve özellikle kripto para birimi ve Web3 projelerinde çalışanları hedef alıyor. İlk erişim, ClickFix gibi çeşitli sosyal mühendislik teknikleri ve Lazarus’un Operation DreamJob operasyonuna benzer sahte işe alım profilleri aracılığıyla sahte iş görüşmeleri sırasında trojanize kod tabanları sunmak suretiyle sağlanıyor. En tipik yükleri BeaverTail, OtterCookie ve WeaselStore bilgi hırsızları ile InvisibleFerret modüler RAT.
Araştırmanın yazarlarından Peter Kálnai şu açıklamayı yaptı:
“DeceptiveDevelopment operatörleri, Lazarus’un DreamJob operasyonuna benzer bir şekilde sosyal medyada sahte işe alım profilleri kullanıyor. Ancak bu durumda, özellikle yazılım geliştiricilere, genellikle kripto para birimi projelerinde yer alanlara ulaşarak sahte iş görüşmesi sürecinin bir parçası olarak arka kapılar yerleştiren trojanize kod tabanlarını potansiyel kurbanlara sağladılar. Tüm bu faaliyetlerin arkasındaki kişiler, geniş çaplı operasyonlar ve son derece yaratıcı sosyal mühendislik için yüksek düzeyde teknik sofistike yöntemler kullanıyor. Kötü amaçlı yazılımları çoğunlukla basit olmasına rağmen teknoloji konusunda bilgili hedefleri bile tuzağa düşürmeyi başarıyorlar”
Saldırganlar, akıllı sosyal mühendislik hilelerine dayanarak kullanıcıları tehlikeye atmak için çeşitli yöntemler seçtiler. Sahte ve ele geçirilmiş profiller aracılığıyla LinkedIn, Upwork, Freelancer.com ve Crypto Jobs List gibi platformlarda işveren gibi davranıyorlar. Hedeflerinin ilgisini çekmek için sahte ve kazançlı iş fırsatları sunuyorlar. Kurbanlardan bir kodlama yarışmasına veya ön görüşme görevine katılmaları isteniyor.
Sahte işe alım hesaplarının yanı sıra saldırganlar ClickFix adlı sosyal mühendislik yöntemini özelleştirip geliştirmişler. Kurbanlar sahte bir iş görüşmesi sitesine çekilir ve ayrıntılı bir başvuru formu doldurmaları istenir, bu da önemli miktarda zaman ve çaba gerektirir. Son adımda, bir video yanıt kaydetmeleri istenir ancak site bir kamera hatası görüntüler ve “Nasıl düzeltilir” bağlantısı sunar. Bu bağlantı, kullanıcılara bir terminal açmalarını ve kamera veya mikrofon sorununu çözmesi gereken bir komutu kopyalamalarını söyler. Ancak bu komut sorunu çözmek yerine kötü amaçlı yazılım indirip çalıştırır.
DeceptiveDevelopment’a yönelik araştırmalar öncelikle Eset telemetri verilerine ve grubun araç setinin tersine mühendisliğine dayansa da bunun Kuzey Koreli BT çalışanlarının dolandırıcılık faaliyetleriyle olan bağlantılarına dikkat çekmek ilginç. FBI’ın “En Çok Arananlar” posterine göre, BT çalışanları kampanyası en azından Nisan 2017’den beri devam etmekte ve son yıllarda giderek daha fazla öne çıkmaktadır. Mayıs 2022’de yayımlanan ortak bir bildiride, BT çalışanları kampanyası, Kuzey Kore ile bağlantılı çalışanların yurt dışı şirketlerde iş bulmak için koordineli bir çaba olarak tanımlanıyor ve bu çalışanların maaşları daha sonra rejimin finansmanı için kullanılıyor. FBI’ın Ocak 2025’teki açıklamasında belirtildiği gibi, bu çalışanların şirket içi verileri çaldıkları ve bunları şantaj için kullandıkları da biliniyor.
Eset Research’ün mevcut OSINT verilerinden, sahte özgeçmişlerden ve diğer ilgili materyallerden elde ettiği bilgilere göre, BT çalışanları ağırlıklı olarak Batı’da, özellikle de Amerika Birleşik Devletleri’nde istihdam ve sözleşmeli çalışmaya odaklanıyor. Ancak elde edilen materyallere dayanan bulgularımız, Fransa, Polonya, Ukrayna ve Arnavutluk gibi ülkeleri hedef alan, Avrupa’ya doğru bir kayma olduğunu gösteriyor. Çalışanlar, iş görevlerini yerine getirmek için yapay zekâyı kullanıyor ve profil resimlerinde ve özgeçmişlerinde fotoğrafları manipüle etmek için yapay zekâya büyük ölçüde güveniyor. Hatta gerçek zamanlı video görüşmelerinde yüz değiştirme işlemi yaparak şu anda kullandıkları kişiliğe benziyorlar. Çeşitli sosyal mühendislik teknikleri için Zoom, MiroTalk, FreeConference veya Microsoft Teams gibi uzaktan görüşme platformlarını kullanıyorlar. Proxy mülakatlar, işverenler için ciddi bir risk oluşturmakta çünkü yaptırım uygulanan bir ülkeden yasa dışı bir çalışanı işe almak sadece sorumsuzluk veya düşük performansla sonuçlanmakla kalmayıp, aynı zamanda tehlikeli bir iç tehdide de dönüşebilir.
Kálnai şu yorumda bulunuyor:
“Kuzey Koreli BT çalışanlarının faaliyetleri, karma bir tehdit oluşturmaktadır. Bu sahtecilik planı, kimlik hırsızlığı ve sentetik kimlik sahtekârlığı gibi klasik suç faaliyetlerini dijital araçlarla birleştirerek hem geleneksel suç hem de siber suç olarak sınıflandırılmaktadır”
“DeceptiveDevelopment: İlkel kripto hırsızlığından sofistike AI tabanlı aldatmacaya” başlıklı araştırma makalesi, grubun iki amiral gemisi araç seti olan InvisibleFerret ve BeaverTail’in gelişimini özetliyor. Aynı zamanda, DeceptiveDevelopment’ın Tropidoor arka kapısı ile Lazarus grubu tarafından kullanılan PostNapTea RAT arasında yeni keşfedilen bağlantıları da ortaya koyuyor. Ayrıca DeceptiveDevelopment tarafından kullanılan yeni araç setleri olan TsunamiKit ve WeaselStore’un kapsamlı bir analizini sunar ve WeaselStore C&C sunucusunun ve API’sının işlevselliğini belgeler.
Kaynak : 