OtterCookie Zararlısı
Kuzey Koreli tehdit aktörlerinin yürüttüğü Contagious Interview (Bulaşıcı Mülakat) kampanyasında, yeni bir JavaScript tabanlı zararlı yazılım olan OtterCookie dağıtılıyor.
Contagious Interview (aynı zamanda DeceptiveDevelopment olarak da bilinir), sosyal mühendislik tuzaklarıyla dikkat çeken sürekli bir saldırı kampanyasıdır. Bu saldırıda, hackerlar iş arayışında olan bireyleri sahte işe alım süreçleriyle kandırarak zararlı yazılımlar indirip çalıştırmalarını sağlıyor.
Saldırı Zinciri Nasıl İşliyor?
Hackerlar, GitHub gibi platformlarda veya npm paket deposunda barındırılan kötü amaçlı video konferans uygulamaları ya da npm paketlerini kullanarak hedef cihazlara zararlı yazılımlar yüklüyor. Bu süreçte kullanılan bazı kötü amaçlı yazılımlar arasında BeaverTail ve InvisibleFerret bulunuyor.
Palo Alto Networks Unit 42’nin Bulguları
Palo Alto Networks tarafından 2023 yılında ortaya çıkarılan bu saldırılar, CL-STA-0240 adıyla takip ediliyor ve bazı kaynaklarda Famous Chollima ya da Tenacious Pungsan olarak anılıyor.
2024 yılının Eylül ayında, Singapur merkezli Group-IB şirketi, saldırı zincirinin önemli bir güncellemesini tespit etti. Bu güncellemede, BeaverTail zararlısının yeni bir sürümü kullanılıyor ve veri çalma işlevi CivetQ olarak adlandırılan Python scriptlerine aktarılıyor.
OtterCookie Nasıl Çalışıyor?
Japonya merkezli NTT Security Holdings şirketinin yaptığı analizlere göre:
- OtterCookie, bir komuta ve kontrol (C2) sunucusuyla iletişim kurarak komut bekliyor.
- Zararlı yazılım, cihazda kabuk komutlarını çalıştırarak dosyaları, panodaki içerikleri ve kripto para cüzdan anahtarlarını çalabiliyor.
- Daha eski bir OtterCookie sürümünde bu işlevler kabuk komutlarıyla uzaktan çalıştırılırken, yeni sürümde kripto cüzdan anahtarlarını çalma özelliği zararlının içine entegre edilmiş durumda.
Bu gelişmeler, tehdit aktörlerinin araçlarını sürekli güncellediklerini ancak saldırı zincirini büyük ölçüde aynı bıraktıklarını gösteriyor.
Güney Kore’nin Yaptırımları
Güney Kore Dışişleri Bakanlığı, Kuzey Kore’nin yasa dışı gelir elde etmek için sahte IT çalışanları kullanma planıyla bağlantılı olarak 15 kişiye ve bir kuruluşa yaptırım uyguladı.
- Bu kişilerden biri olan Kim Ryu Song, ABD Adalet Bakanlığı tarafından sahte kimlik kullanımı, dolandırıcılık ve kara para aklama gibi suçlarla itham edildi.
- Ayrıca Chosun Geumjeong Economic Information Technology Exchange Company, Kuzey Kore rejimi adına Çin, Rusya, Güneydoğu Asya ve Afrika’da IT personelleri görevlendirmekle suçlanıyor.
Uluslararası Tehdit0609
Kuzey Kore’nin siber faaliyetleri, sadece siber ekosistemi tehdit eden suçlar değil, aynı zamanda bu gelirlerin nükleer ve füze geliştirme projelerine aktarılması nedeniyle uluslararası barış ve güvenlik için ciddi bir tehlike oluşturuyor.
