Field Effect Analizi ekibi, kötü şöhretli Lazarus Grubu’nun finansal olarak motive olmuş bir alt grubu olan Kuzey Kore devlet destekli tehdit aktör Bluenoroff tarafından düzenlenen hedefli bir sosyal mühendislik kampanyası ortaya çıkardı.
Kanadalı bir çevrimiçi kumar sağlayıcı, güvenilir bir temas ve Zoom platformunun kimliğine bürünen titizlikle hazırlanmış bir saldırıya kurban etti.
Sofistike Sosyal Mühendislik Kampanyası
Saldırgan sahte bir alandan yararlandı, zoom-tech[.]Biz, planlanmış bir kripto para ile ilgili zoom toplantısı sırasında kurbanı aldatmak.
.png
)
Ses sorunlarını bir bahane olarak kullanarak, tehdit oyuncusu kurbanı bir Zoom ses onarım aracı olarak gizlenmiş kötü niyetli bir senaryo çalıştırmaya zorladı.
Rapora göre, 10.000 boş satır arasında gizli komutlarla bağlanan bu komut dosyası, Infostealer kötü amaçlı yazılımları indiren ve sonuçta kullanıcı kimlik bilgileri ve tarayıcı profilleri de dahil olmak üzere hassas verileri tehlikeye atan bir olay zinciri başlattı.
Bluenoroff tarafından kullanılan enfeksiyon zinciri, teknik incelik ve psikolojik manipülasyon karışımını sergiliyor.
İlk senaryo kurbanı hileli alan zoom-tech’e yönlendirdi[.]Birden fazla benzer alana bağlı aldatıcı whois verileri kullanarak 14 Nisan 2025’te kayıtlı ABD.
Kötü amaçlı yazılım dağıtım
Yürütüldükten sonra, komut dosyası, kurbanın yerel hesap şifresini açıklayan bir kimlik bilgisi hasat bileşeni de dahil olmak üzere ikincil yükleri indirmek için curl ve zsh aracılığıyla kabuk komutlarını çağırdı.
Sonraki aşamalar, bir LaunchDaemon yapılandırması yoluyla kalıcı bir kötü amaçlı yazılım implantının dağıtılmasını ve yüksek ayrıcalıklarla önyükleme süresinin yürütülmesini sağlamayı içeriyordu.
“Wi-Fi güncelleyici” gibi meşru macOS bileşenleri olarak maskelenen kötü amaçlı yazılım, belirli haklar aracılığıyla işlem enjeksiyon yeteneklerini içererek diğer süreçlere eklemesine izin verdi.
Veri çalma rutinleri paralel olarak yürütüldü, anahtarlık dosyaları, tarayıcı verileri (Cesur gibi tarayıcılarda kripto para birimi cüzdanı uzantılarına odaklanarak) ve RSYNC ve CURL gibi araçları kullanarak sistem keşif çıkışlarında yürütüldü.
İşlem sonrası dosya silme gibi geçici dizinlerin ve forsensik karşıtı tekniklerin kullanımı, saldırganın ayak izini en aza indirirken, AjayPlamingo gibi alanlar[.]com ve zmwebsdk[.]com kolaylaştırılmış komut ve kontrol (C2) ve veri çıkışı.
En azından Mart 2025’e kadar uzanan kampanya, Bluenoroff’un gelişen Tradecraft’ı yansıtıyor ve kripto para birimi ekosistemini Kuzey Amerika, Güney Kore, Japonya ve Avrupa gibi bölgelerde finansal kazançlara odaklanarak hedefliyor.
Kuruluşlardan bu göstergeleri izlemeleri, yetkisiz senaryo yürütmeyi kısıtlaması ve bu tür gelişmiş tehditlere karşı koymak için sosyal mühendislik taktikleri konusunda kullanıcıları eğitmeleri istenir.
Uzlaşma Göstergeleri (IOCS)
| Tip | Gösterge | Detaylar |
|---|---|---|
| İkili | /Library/restorekey/com.apple.siri.updater | SHA256: 036CA0A9D6A87E811F96F3AAAAD8D0506954716CDB3B56915FC20859F1363C2F |
| İkili | /Users//library/com.apple.wifi.updater/wi-fi updater.app/contents/macos/wi-fi updater | SHA256: ccf7f7678965105142f6878d7b1f1f1c6f31fdbc45b0e50b8e70d0441f0b7472 |
| C2 Alanı | zoom-tech[.]biz | İlk yük dağıtım ve veri açığa çıkması için kullanılır |
| C2 Alanı | Ajaylamin[.]com | Kötü amaçlı yazılım implantı C2 iletişimi için kullanılır |
| C2 Alanı | zmwebsdk[.]com | Veri açığa çıkması için kullanılır |
| IP adresi | 23.254.203[.]244 | C2 iletişimiyle ilişkili |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin