Önemli bir atılımda, siber güvenlik firması Silent Push, Kuzey Kore devlet destekli ileri kalıcı tehdit (APT) olan Lazarus Grubu’na bağlı hassas altyapıyı ortaya çıkardı.
Bu keşif, grubun kripto tarihinin en büyük hırsızlıklarından biri olan Bybit’i hedefleyen tarihi 1.4 milyar dolarlık kripto para birimi soygununa dahil olmasına ışık tutuyor.
Soruşturma, Lazarus grubunun “Bybit-Değerlendirme alanını kaydettiğini ortaya koydu[.]com ”20 Şubat 2025’teki saldırıdan sadece saatler önce.
WHOIS kayıtlarının analizi bu alan adını bir e -posta adresine bağladı: “Trevorgreer9312@gmail[.]com, ”daha önce Lazarus operasyonlarıyla ilişkili.
Grup ayrıca, test günlüklerinde 27 benzersiz IP adresi ile Astrill VPN hizmetlerini kapsamlı bir şekilde kullanmıştır.
Sessiz Push analistleri, bu bulguların Lazarus’un yerleşik taktikleri, teknikleri ve prosedürleri (TTP’ler) ile uyumlu olduğunu doğruladı.
Tarihsel paralelliklerle koordineli bir saldırı
En az 2009’dan beri aktif olan ve Kuzey Kore Keşif Genel Bürosu ile bağlantılı olan Lazarus Grubu, finansal kurumları ve kripto para platformlarını hedefleyen çok sayıda siber saldırıda rol oynamıştır.
Bybit saldırısı başlangıçta 21 Şubat 2025’te blockchain araştırmacısı Zachxbt tarafından işaretlendi.
Zincir üzerindeki işlemler ve cüzdan hareketleri analizi, Lazarus’un katılımının erken göstergelerini sağladı ve daha sonra Arkham Crypto istihbaratı tarafından desteklendi.
Silent Push’un takip soruşturması, kimlik avı kampanyaları ve sahte iş görüşmeleri için kullanılan alanlar da dahil olmak üzere Lazarus’a bağlı ek altyapı ortaya çıkardı.
“Blockchainjobhub gibi bu alanlar[.]com ”ve“ nvidia salınımı[.]Org, ”, LinkedIn aracılığıyla kurbanları istihdam fırsatları kisvesi altında indirmek için cezbetmek için ayrıntılı planların bir parçasıydı.
Lazarus operasyonlarına ilişkin teknik bilgiler
Sessiz push analistleri, Lazarus’un altyapısına sızdı ve titiz test süreçlerini detaylandıran günlükleri ortaya çıkardı.
Grup, canlı saldırılara dağıtılmadan önce kimlik avı yapılandırmalarını ve kimlik bilgisi çalma mekanizmalarını sık sık test etti.
Özellikle, test girişleri “Lazaro” ye referansları içeriyordu, bu da “Lazarus” a benzeyen bir isim, atıfı daha da onayladı.
Soruşturma ayrıca Lazarus’un sahte iş görüşmelerini kötü amaçlı yazılım dağıtımına bir giriş noktası olarak kullandığını vurguladı.
Mağdurlar genellikle bu görüşmeler sırasında kamera sürücüsü güncellemeleri olarak gizlenmiş kötü niyetli komut dosyaları yürütme için kandırıldı.
Siber güvenlik araştırmacısı Tayvano tarafından analiz edilen böyle bir kötü amaçlı yazılım suşu, veri açığa çıkması için kullanılan Golang tabanlı bir arka kapıdır.
Sessiz Push henüz maruz kalan kütüklerde doğrudan Bybit kurbanlarını tanımlamamış olsa da, bulguları gelecekteki tehditleri azaltmak için kritik zeka sağlamıştır.
Firma, proaktif savunma önlemlerini mümkün kılmak için kurumsal müşterilerle gelecekteki saldırıların (IOFA’lar) göstergelerini paylaştı.
Ayrıca, Silent Push, Lazarus’un operasyonlarını bozmak için kolluk kuvvetleriyle işbirliği yapmaya devam ediyor.
Bu soruşturma, devlet destekli siber suçların gelişen sofistike olmasının ve bu tür tehditlerle mücadelede kolektif çabaların önemini vurgulamaktadır.
Sessiz Push, bu hafta daha sonra bulguları hakkında ayrıntılı bir rapor yayınlamayı planlıyor ve Lazarus Grubu tarafından kullanılan metodolojiler hakkında daha fazla bilgi sunuyor.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free