Microsoft, BlueNoroff Kuzey Koreli bilgisayar korsanlığı grubunun LinkedIn’de yaklaşan sosyal mühendislik kampanyaları için yeni saldırı altyapısı kurduğu konusunda uyarıyor.
Mali motivasyona sahip bu tehdit grubunun (Redmond tarafından Sapphire Sleet olarak takip ediliyor) aynı zamanda kripto para şirketlerindeki çalışanları hedef alan belgelenmiş bir kripto para hırsızlığı saldırıları geçmişi de var.
BlueNoroff bilgisayar korsanları, LinkedIn’deki ilk temasın ardından hedeflerini seçtikten sonra, çeşitli sosyal ağlardaki özel mesajlar yoluyla iletilen kötü amaçlı belgelerde gizlenmiş kötü amaçlı yazılımları dağıtarak sistemlerine arka kapı açıyor.
“Microsoft’un sosyal mühendislik yoluyla kripto para hırsızlığıyla tanınan Sapphire Sleet olarak takip ettiği tehdit aktörü, geçtiğimiz birkaç hafta içinde beceri değerlendirme portalları gibi davranan yeni web siteleri oluşturdu ve bu ısrarcı aktörün taktiklerinde bir değişime işaret etti.” Microsoft Tehdit İstihbaratı güvenlik uzmanlarına göre.
“Sapphire Sleet genellikle hedefleri LinkedIn gibi platformlarda buluyor ve beceri değerlendirmesiyle ilgili yemleri kullanıyor. Tehdit aktörü daha sonra hedeflerle başarılı iletişimi diğer platformlara taşıyor.”
Daha önce, Kuzey Kore devlet korsanlarının kötü amaçlı eklentileri doğrudan dağıttığı veya GitHub gibi meşru web sitelerinde barındırılan sayfalara bağlantılar kullandığı görülüyordu.
Ancak Microsoft, saldırganların kötü amaçlı dosyalarının yasal çevrimiçi hizmetlerden hızlı bir şekilde tespit edilmesi ve kaldırılmasının, BlueNoroff bilgisayar korsanlarının kötü amaçlı yükleri barındırabilecek kendi web sitelerini oluşturmaya teşvik ettiğine inanıyor.
Bu web siteleri, analiz çabalarını engellemek için şifre korumalıdır ve işe alım uzmanlarını bir hesaba kaydolmaya teşvik eden beceri değerlendirme portalları olarak kamufle edilmiştir.
BlueNoroff kimdir?
Bu haftanın başlarında Jamf Threat Labs’ın güvenlik araştırmacıları, BlueNoroff’u, güvenliği ihlal edilmiş cihazlarda uzak kabuklar açarak Mac’leri hedef alan arka kapı açmak için kullanılan yeni ObjCShellz macOS kötü amaçlı yazılımıyla ilişkilendirdi.
Kaspersky son yıllarda BlueNoroff’u ABD, Rusya, Çin, Hindistan, İngiltere, Ukrayna, Polonya, Çek Cumhuriyeti, BAE, Singapur, Estonya, Vietnam ve Malta dahil olmak üzere dünya çapındaki kripto para birimi girişimlerine ve finans kuruluşlarına yönelik bir dizi saldırıyla ilişkilendirdi. , Almanya ve Hong Kong.
Ek olarak FBI, tarihteki en büyük kripto hackini (Axie Infinity’nin Ronin ağ köprüsünün ihlali) Lazarus ve BlueNoroff hack gruplarına bağladı. Saldırganlar 173.600 Ethereum ve 25,5 milyon USDC tokenını çaldı, bu da 617 milyon doların üzerinde bir değere ulaştı.
Dört yıl önce bir Birleşmiş Milletler raporu, BlueNoroff da dahil olmak üzere Kuzey Kore devlet korsanlarının, bir düzineden fazla ülkede bankaları ve kripto para borsalarını hedef alan en az 35 siber saldırıda yaklaşık 2 milyar dolar çaldığını tahmin ediyordu.
2019’da ABD Hazinesi ayrıca BlueNoroff ve diğer iki Kuzey Koreli bilgisayar korsanlığı grubuna (Lazarus Group ve Andariel) çalınan mali varlıkları Kuzey Kore hükümetine kanalize etmeleri nedeniyle yaptırım uyguladı.