JSON Storage servisleri üzerinden kurulan Kuzey Kore kaynaklı saldırıda geliştiriciler ve DevOps uzmanları hedef alındı

Kuzey Kore bağlantılı olduğu değerlendirilen yeni bir tehdit aktörünün, JSON Storage servislerini staging alanı olarak kullanarak yazılımcıları ve DevOps profesyonellerini hedef aldığı saldırı zinciri siber güvenlik gündemine taşındı. Saldırı, Cyber Defense Team Lead Onur OKTAY’ın blog yazısında paylaştığı ayrıntılı analiz ile kamuoyu ve güvenlik topluluğunun dikkatine sunuldu.

Geliştiriciler ve İş Arayan DevOps Uzmanları Hedefte

Analize göre tehdit aktörü, özellikle yazılım geliştiricileri, DevOps ve DevSecOps ekiplerini ve iş arama sürecinde olan teknik adayları hedefliyor. Saldırganlar, daha önce ele geçirdikleri JSON Storage bağlantılarını iş görüşmesi veya teknik değerlendirme dosyası gibi göstererek mağdurlara iletiyor. Böylece süreç, meşru bir işe alım veya proje paylaşımı izlenimi veriyor.

Meşru Görünümlü JSON Dosyalarında Gizli Payload

Gönderilen linkler üzerinden erişilen dosyalar, ilk bakışta server, config.env ve benzeri default servis dosyalarını içeren gerçek bir JSON yapılandırması gibi görünüyor. Ancak içerikte base64 ile encode edilmiş zararlı bir payload bulunuyor. Mağdur bu dosyaları indirdiğinde veya çalıştırdığında payload sisteme yerleşiyor ve tehdit aktörünün iç ağa sızmasına zemin hazırlıyor.

Onur OKTAY’ın aktardığına göre saldırının ilk aşamasında, BearVerTail isimli bir JavaScript dosyası çalıştırılıyor ve zararlı yükün sisteme yerleşimi başlıyor. İkinci aşamada ise Python ile derlenmiş InvisibleFerret adlı bir backdoor devreye giriyor. Bu arka kapı yalnızca kalıcılık sağlamıyor, aynı zamanda başka bir zararlıyı sisteme çekmek için kullanılıyor.

TsunamiKit ile Veri Hırsızlığı, Fingerprint ve Lateral Movement

Saldırı zincirinin sonraki adımında TsunamiKit isimli malware öne çıkıyor. Analize göre TsunamiKit; data stealing (veri hırsızlığı), fingerprint (sistem ve kullanıcı profilleme) ve lateral movement (yatayda yayılma) gibi işlevler gerçekleştiriyor. Araç, base64 ile encode edilmiş bir URL yükü taşıyor ve bu trafiği “.onion” adreslerine yönlendirerek Tor ağı üzerinden haberleşiyor. Böylece komuta-kontrol (C2) trafiği gizleniyor ve iz sürmeyi zorlaştırıyor.

JsonKeeper, JsonSilo ve Npoint Üzerinden Meşru Trafik İllüzyonu

Tehdit aktörlerinin, güvenli ve masum görünen JsonSilo, JsonKeeper ve Npoint gibi JSON Storage servislerini kullanması saldırının kritik noktalarından biri olarak öne çıkıyor. Bu servisler üzerinden akan trafik, ilk bakışta tamamen meşru HTTP isteği gibi göründüğü için, manuel inceleme yapılmadığı sürece şüphe uyandırmıyor.

Onur OKTAY, söz konusu trafiğin çoğu durumda ancak HTTP trafiği derinlemesine izlenir ve içerikte base64 ile encode edilmiş şüpheli bloklar fark edilirse ortaya çıkarılabildiğini vurguluyor. Aksi durumda tüm süreç, “fazlasıyla legal” ve doğal bir JSON servis kullanımı gibi algılanabiliyor.

Saldırı Nasıl Tespit Edilebilir?

Analizde, bu tür saldırıların tespitine yönelik birden fazla savunma katmanı öneriliyor. Buna göre iyi yapılandırılmış bir EDR/XDR ürününün, base64 ile encode edilmiş şüpheli dosya ve komut dizilerini tespit ederek güvenlik ekiplerine ilk uyarıyı verebileceği belirtiliyor. Bu, saldırının anlaşılması ve zincirin geriye doğru analiz edilmesi için kritik ilk aşama olarak tanımlanıyor.

Kurumsal EDR çözümü bulunmayan, kişisel cihaz kullanan hedefler açısından ise kişisel güvenlik farkındalığı öne çıkıyor. Onur OKTAY, bu tip dosyaların doğrudan üretim sistemlerinde veya ana iş istasyonunda çalıştırılmaması, bunun yerine virtual ortamlar ya da sandbox sistemlerde açılıp analiz edilmesinin doğru ve güvenli yöntem olacağını ifade ediyor.

Ayrıca network tarafında HTTP URL monitoring yapılarak, bilinen kötü amaçlı alanlara veya meşru görünmeyen hedeflere çıkan trafiğin tespit edilebileceği belirtiliyor. Özellikle .onion uzantılı adreslere yönelen istekler ve daha önce ilişkilendirilmiş C2 IP adreslerine giden bağlantılar, saldırının pratikte yakalanabileceği noktalardan biri olarak gösteriliyor.

Yayınlanan IoC’ler: E-posta Adresleri, JSON URL’leri ve C2 IP’leri

Onur OKTAY’ın blog yazısında, saldırıyla ilişkilendirilen ve kamuya açık şekilde raporlanmasına onay verilen bir IoC (Indicator of Compromise) listesi paylaşıldı. Bu listede hem kimlik avı ve iletişim amaçlı kullanılan e-posta adresleri, hem JSON Storage servislerindeki zararlı içeriklerin bulunduğu URL’ler, hem de C2 sunucuları için kullanılan IP adresleri yer alıyor.

Paylaşılan e-posta adreslerinden bazıları şöyle sıralandı:
ahmadbahai07[@]gmail.com, drgru854[@]gmail.com, jack.murray.tf7[@]gmail.com, jackhill2765[@]gmail.com, reichenausteve[@]gmail.com, magalhaesbruno236[@]gmail.com, stromdev712418[@]gmail.com, trungtrinh0818[@]gmail.com.

JSON Storage Service URL’leri arasında ise şu adresler öne çıktı:
hxxps://jsonkeeper[.]com/b/GNOX4, hxxps://jsonkeeper[.]com/b/IARGW, hxxps://jsonkeeper[.]com/b/FM8D6, hxxps://jsonkeeper[.]com/b/GCGEX, hxxps://jsonkeeper[.]com/b/IXHS4, hxxps://jsonkeeper[.]com/b/86H03, hxxps://jsonkeeper[.]com/b/6OCFY, hxxps://jsonkeeper[.]com/b/E4YPZ, hxxps://jsonkeeper[.]com/b/8RLOV, hxxps://jsonkeeper[.]com/b/BADWN, hxxps://jsonkeeper[.]com/b/4NAKK, hxxps://jsonkeeper[.]com/b/JNGUQ, hxxps://jsonkeeper[.]com/b/O2QKK, hxxps://jsonkeeper[.]com/b/T7Q4V.

JsonSilo ve Npoint tarafında listelenen bazı URL’ler ise şöyle verildi:
hxxps://api[.]jsonsilo[.]com/public/0048f102–336f-45dd-aef6–3641158a4c5d, hxxps://api[.]jsonsilo[.]com/public/942acd98–8c8c-47d8–8648–0456b740ef8b, hxxps://api[.]npoint[.]io/e6a6bfb97a294115677d, hxxps://api[.]npoint[.]io/8df659fd009b5af90d35, hxxps://api[.]npoint[.]io/f4be0f7713a6fcdaac8b, hxxps://api[.]npoint[.]io/148984729e1384cbe212, hxxps://api[.]npoint[.]io/2169940221e8b67d2312, hxxps://api[.]npoint[.]io/a1dbf5a9d5d0636edf76, hxxps://api[.]npoint[.]io/62755a9b33836b5a6c28, hxxps://api[.]npoint[.]io/336c17cbc9abf234d423, hxxps://api[.]npoint[.]io/832d58932fcfb3065bc7, hxxps://api[.]npoint[.]io/cb0f9d0d03f50a5e1ebe, hxxps://api[.]npoint[.]io/f6dd89c1dd59234873cb, hxxps://api[.]npoint[.]io/03f98fa639fa37675526, hxxps://api[.]npoint[.]io/38acf86b6eb42b51b9c2.

C2 / IP adresleri arasında ise 107[.]189[.]25[.]109, 144[.]172[.]100[.]142, 144[.]172[.]103[.]97, 144[.]172[.]95[.]226, 144[.]172[.]97[.]7, 146[.]70[.]253[.]10, 146[.]70[.]253[.]107, 147[.]124[.]197[.]138, 147[.]124[.]197[.]149, 147[.]124[.]212[.]146, 147[.]124[.]212[.]89, 147[.]124[.]214[.]129, 147[.]124[.]214[.]131, 147[.]124[.]214[.]237, 165[.]140[.]86[.]227, 172[.]86[.]84[.]38, 172[.]86[.]98[.]240, 185[.]153[.]182[.]241, 185[.]235[.]241[.]208, 216[.]126[.]229[.]166, 23[.]106[.]253[.]194, 23[.]106[.]253[.]215, 23[.]106[.]253[.]221, 23[.]106[.]253[.]242, 23[.]227[.]202[.]242, 23[.]227[.]202[.]244, 23[.]254[.]164[.]156, 38[.]92[.]47[.]151, 38[.]92[.]47[.]85, 38[.]92[.]47[.]91, 45[.]128[.]52[.]14, 45[.]137[.]213[.]30, 45[.]43[.]11[.]201, 45[.]61[.]133[.]110, 45[.]61[.]150[.]30, 45[.]61[.]150[.]31, 45[.]61[.]151[.]71 adresleri paylaşıldı.

Diğer URL’ler arasında ise şu adresler dikkat çekiyor:
hxxps://pastebin[.]com/u/NotingRobe2871_FranzStill8494, hxxp[://]23[.]254[.]164[.]156/introduction-video, hxxp[://]n34kr3z26f3jzp4ckmwuv5ipqyatumdxhgjgsmucc65jac56khdy5zqd[.]onion.

Kuruluşlara ve Bireylere Çağrı

Onur OKTAY, paylaştığı IoC listesinin güvenlik ürünlerine, SIEM kurallarına ve URL/IP engelleme politikalarına hızla dahil edilmesi gerektiğini belirtiyor. Özellikle işe alım süreçlerinde veya proje iş birliklerinde gelen JSON Storage linklerinin, kaynağı ve içeriği doğrulanmadan açılmaması isteniyor. Kurumların, geliştiricilere ve DevOps ekiplerine yönelik farkındalık eğitimleriyle bu tür hedefli saldırı tekniklerine karşı hazırlıklı olması gerektiği vurgulanıyor.

Kaynak: Beykozun Sesi