Volexity’deki siber güvenlik araştırmacıları, AppleJeus kötü amaçlı yazılımının sahte kripto para birimi uygulamaları aracılığıyla dağıtıldığı yeni bir saldırı dalgası tespit etti. Araştırmacılar, Kuzey Koreli APT grubunun Lazarus bu yeni kampanyanın arkasında.
olarak belirtmekte fayda var bildirildi Ağustos 2018’de Hackread.com tarafından, Lazarus bilgisayar korsanı grubunun, birden çok kripto para borsasına yönelik saldırısında macOS’a karşı AppleJeus kötü amaçlı yazılımını kullandığı tespit edildi.
Kampanya Analizi
Araştırmacılara göre, kötü şöhretli Lazarus bilgisayar korsanlığı grubu kötü amaçlı yazılımı dağıtmak için sahte bir ticari web sitesi ve DLL Yandan yükleme kullanır. Bu kampanyanın birincil hedefleri, kripto para birimi kullanıcıları ve kuruluşlarıdır.
Grup, son saldırılarında, aracılığıyla dağıtılan AppleJeus kötü amaçlı yazılımının bir çeşidini kullanıyor. kötü amaçlı Microsoft Office belgeleri. Bu kampanya Haziran 2022’de başlamıştır ve halen aktiftir.
“Lazarus Group, kampanyalarına ve taktiklerine devam eden ilgiye rağmen, kripto para birimi kullanıcılarını hedefleme çabalarına devam ediyor. Belki de algılamayı ima etme girişiminde, yüklerini yüklemek için zincirleme DLL yandan yüklemeyi kullanmaya karar vermişlerdir. Araştırmacılar, bu değişikliklere rağmen, kripto para birimi endüstrisinin KDHC’nin finansmanını destekleme aracı olarak odak noktası olmasıyla hedefleri aynı kalıyor” dedi. Blog yazısı.
Volexity’nin bulguları sürpriz olmamalı; Ocak 2022 itibariyle, Lazarus bilgisayar korsanları sandalye 1.7 trilyon dolar kripto para borsalarından. Aslında, Nisan 2022’de, bildirildi grubun Blockchain kuruluşlarını hedeflemek için TraderTraitor adlı başka bir kötü amaçlı yazılım kullandığını.
Şema Nasıl Çalıştı?
Düzenin, yasal bir web sitesinden çalınan içeriğe sahip canlı bir kripto temalı siteyi kapsadığı bildiriliyor. AppleJeus kötü amaçlı yazılımı, vahşi ortamda belgelenmemiş yeni bir DLL Yandan yükleme türüyle konuşlandırıldı.
Daha fazla araştırma, Haziran 2022’de tehdit aktörlerinin bir alan adı (bloxholdercom) kaydettirdiğini ortaya çıkardı. yazı yazarken canlı olan) ve otomatik kripto para ticareti ile ilgili bir web sitesini barındırmak için yapılandırdı.
Bu site, gerçek kripto para ticaret platformu HaasOnline’ın (haasonlinecom) sahte bir versiyonuydu. Bu web sitesine yapılan tüm referanslar, birkaç ince ayar ile birlikte BloxHolder olacak şekilde değiştirildi.
Sahte web sitesi bir kötü amaçlı Windows MSI yükleyicisi BloxHolder uygulaması kılığına girmiş. Bu uygulama, AppleJeus kötü amaçlı yazılımının ve QTBitcoinTrader uygulamasının yüklenmesine yardımcı oldu.
Detaylı analiz
Volexity araştırmacıları, Lazarus bilgisayar korsanı grubunun, bir MSI yükleyicisi yerine OKX Binance & Huobi VIP ücret karşılaştırması.xls adlı kötü amaçlı MS Office belgeleri aracılığıyla AppleJeus kötü amaçlı yazılımını yüklediğini belirtti. Bu gelişme Ekim 2022’de gözlendi.
Kötü amaçlı belge şunları içeriyordu: makro iki kısma ayrıldı. İlki, ikinci bir makro içeren ikinci bir OLE nesnesini içeren bir base64 bloğunun kodunu çözdü.
Ayrıca ilk belge, kötü amaçlı yazılımın etkilenen sistemde nereye konuşlandırılacağını tanımlamaya izin vermek için taban 64 ile kodlanmış çeşitli değişkenleri de saklıyordu. Ek olarak, bilgisayar korsanları son aşama yükünü dağıtmak için OpenDrive’ı da kullandı.
Ancak araştırmacılar, Ekim ayından bu yana konuşlandırılan son yükü alamadılar. içeren saldırılara benzer olduğu için DLL Tarafından yükleme mekanizmasındaki benzerliklere dikkat çektiler. MSI yükleyici.