Sahte işe alım görevlisi, Truva atına dönüştürülmüş kodlama meydan okumalarıyla havacılık çalışanlarını tuzağa düşürdü

 (welivesecurity.com)
1 puan yazan GN⁺ 2023-10-02 | 1 yorum | WhatsApp'ta paylaş
  • ESET araştırmacıları, İspanyol bir havacılık şirketini hedef alan bir Lazarus saldırısı tespit etti ve daha önce bilinmeyen LightlessCan adlı bir arka kapı dağıttı.
  • Lazarus grubu, Meta işe alım görevlisi kılığına giren başarılı bir spear phishing kampanyasıyla ilk erişimi elde etti.
  • Kurbanla LinkedIn mesajlaşması üzerinden iletişime geçildi ve kendisine iki kodlama görevi gönderildi; bunlar şirket cihazına indirilip çalıştırıldı.
  • Saldırı, etkilenen havacılık şirketiyle iş birliği içinde ortaya çıkarıldı.
  • Saldırganlar, DLL side-loading yoluyla iletilen üç tür yük dahil çeşitli araçlar kullandı.
  • En dikkat çekici yük olan LightlessCan arka kapısı, gerçek zamanlı güvenlik izleme yazılımlarının tespitinden ve siber güvenlik uzmanlarının analizinden kaçınmaya yönelik teknikler uygular.
  • 2009'dan beri faaliyet gösteren ve Kuzey Kore ile bağlantılı olan Lazarus grubu, Sony Pictures Entertainment saldırısı ve WannaCryptor salgını gibi yüksek profilli olaylardan sorumlu tutuluyor.
  • İspanya'daki saldırı, savunma ve havacılık şirketlerine yönelik siber casusluğu hedefleyen Lazarus grubunun Operation DreamJob operasyonuna atfedildi.
  • Lazarus grubu, yüklerin yalnızca hedeflenen kurbanın makinesinde çözülebilmesini sağlamak için yürütme guardrail'leri kullanıyor.
  • Yeni yük LightlessCan, tasarım ve operasyon açısından yüksek düzeyde sofistikasyon sergileyen karmaşık bir araç.
  • Yazı, Comcast Cable Communications, Liquid Web, Netia SA, Coreix Ltd, GoDaddy.com ve Korea Telecom dahil olmak üzere komuta ve kontrol (C&C) sunucularına ev sahipliği yapan, saldırıdan etkilenmiş meşru web sitelerini ele alıyor.
  • Yazı, saldırganların kullandığı MITRE ATT&CK tekniklerinin ayrıntılı bir listesini sunuyor.
  • Saldırganlar, belirli çalışanları tespit edip onlarla iletişime geçmek için LinkedIn kullandı ve Meta'nın headhunter'ı gibi görünen sahte LinkedIn kimlikleri oluşturdu.
  • Yazı, çeşitli kaynaklara atıfta bulunarak siber casusluk kampanyasına dair kapsamlı bir genel bakış sunuyor.
  • Yazı, saldırganların kullandığı teknikler ve ilgili web siteleri hakkında ayrıntılı analiz sunduğu için siber güvenliğe ilgi duyan teknik bilgi seviyesi yüksek okurlar açısından özellikle ilgili.

İlgili okumalar

1 yorum

 
GN⁺ 2023-10-02
Hacker News yorumu
  • Bir hackerın işe alım görevlisi gibi davranıp havacılık ve uzay çalışanlarına Truva atı yerleştirilmiş kodlama soruları göndermesiyle ilgili kurnaz bir hack yöntemi üzerine makale.
  • Hacker, Apple'ın uyarı sisteminde genelde göz ardı edilen, evde çözülebilen leetcode testi üzerinden erişim elde etti.
  • Hacker, şirket bilgilerine yüksek düzeyde erişim yetkisine sahip olma ihtimali bulunan kişileri hedef aldı.
  • Bazı kişiler iş arama faaliyetleri için şirket kaynaklarını kullanıyor ve bu da bu tür güvenlik ihlallerine yol açabiliyor.
  • Hacker kurbana bir .exe dosyası gönderdi; bu, saldırı ihtimalini gösteren bir kırmızı bayrak olmalıydı.
  • Bazı kişiler, bu tür güvenlik olaylarından kaçınmak için özgeçmişlerini internette bilerek yayımlamıyor.
  • Kişisel işler için şirket cihazlarını kullanan kişilere yönelik eleştiriler var. Bu, güvenlik ihlali riskini artırıyor.
  • Kuzey Koreli hacker grubu Lazarus/HIDDEN COBRA'nın, Kuzey Korelilerin internete erişimi sınırlı olmasına rağmen nasıl bu kadar sofistike olabildiğine dair spekülasyonlar var.
  • Bu olay, insanlara qubes-os gibi daha güvenli işletim sistemlerine bakmaları için bir vesile oluyor.
  • Hacker basit bir kodlama sorusu gönderdi; çoğu şirket orta veya zor sorularla başladığı için bu bir uyarı işareti olmalıydı.
  • Ücretsiz Wi‑Fi üzerinden dizüstü bilgisayarın hacklenmesi gibi benzer hack olaylarına dair anekdotlar var.