Siber güvenlik araştırmacıları, Mart ayında Sekoia’nın Tehdit Tespit ve Yanıt (TDR) ekibi tarafından yayınlanan kapsamlı bir analize göre, tanınmış Kuzey Kore devlet destekli hacker kıyafeti Lazarus ile bağlantılı kalıcı bir tehdit kümesi hakkında fikir verdiler.
“Click Hake Röportajı” olarak adlandırılan bu operasyon, grubun en az 2022’den beri kripto para birimi ve teknoloji sektörlerinde iş arayanları hedefleyen uzun süredir devam eden “bulaşıcı röportaj” kampanyasının bir evrimini temsil ediyor.
Kampanya, merkezi olmayan finans (DEFI) ve blockchain firmalarındaki yüksek ücretli pozisyonların cazibesini kullanıyor ve kurbanları nihayetinde kötü amaçlı yazılım konuşlandırmasına yol açan sahte iş görüşmeleri ile çekiyor.
Lazarus Group’un sofistike kampanyası
Hileli planların değişken piyasa koşullarının yanı sıra çoğaldığı kript ile ilgili dolandırıcılıklarda sıcak bir yaz dalgalanmasının ortasında, bu saldırı vektörü, insan kırılganlıklarından yararlanmak için ileri süren tehditlerin (APT’lerin) artan karmaşıklığını vurgulamaktadır.
Tıklama plaka görüşmesi kümesi, geleneksel güvenlik önlemlerini atlamak ve doğrudan mağdur sistemleri tehlikeye atmak için tasarlanmış bir sosyal mühendislik parası olan yenilikçi “ClickFix” tekniğinden yararlanır.
ClickFix yöntemi, görünüşte meşru video konferans kurulumları veya belge önizlemeleri sırasında kullanıcılara fabrikasyon hata mesajları sunmayı ve kötü niyetli komutları terminal veya komut istemine kopyalamalarını ve yapıştırmalarını ister.
Bu teknik, CODEC kurulumları veya Zoom veya PDF görüntüleyicileri gibi uygulamalarda yazı tipi oluşturma sorunları gibi ortak yazılım sorunları için sorun giderme adımları olarak maskelenerek uç nokta algılama ve yanıt (EDR) araçlarını tahrif eder.
Bir kez yürütüldükten sonra, bu komutlar Golangghost kötü amaçlı yazılımını Go programlama dilinde yazılmış hafif, platformlar arası bir arka kapı kullanan çok aşamalı bir enfeksiyon zinciri başlatır.
Golangghost, ağ izlemesinden kaçınmak için HTTPS üzerinden gizlenmiş C2 (komut ve kontrol) iletişimini kullanarak gizlilik için tasarlanmıştır.
Uzaktan kabuk erişimi, dosya eksfiltrasyonu ve tuş vuruşu günlüğü gibi işlevleri destekleyerek hedeflenen ortamlarda casusluk ve veri hırsızlığı için idealdir.
Sekoia’nın analizi, kötü amaçlı yazılım yüklerinin genellikle tehlikeye atılmış meşru alanlarda veya bulut hizmetlerinde barındırıldığını ve daha da iyi huylu trafiğe karıştığını ortaya koydu.
Uzlaşma göstergeleri (IOC’ler), “Global \ Golangghostmutex” ve HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RUN altındaki “Global \ golangghostmutex” ve anormal kayıt anahtarları gibi belirli Mutex adlarını yeniden başlatmalar arasında devam eder.
Kripto güvenliği için çıkarımlar
Tıklama plaka görüşmesi kampanyası, 2014 Sony Pictures Hack ve 2017 WannaCry fidye yazılımı salgını gibi yüksek profilli saldırılar geçmişine dayanarak Lazarus Group’un uyarlanabilirliğinin altını çiziyor.
ClickFix’i “Akıllı Sözleşme Denetimi” Rolleri tartışmak için davetiyeler gibi kripto iş fırsatları etrafında temalı cazibelerle entegre ederek Saldırganlar, sektörün yetenek kıtlığı ve pandemik sonrası uzak çalışma patlamasından yararlanır.
Bu, 2022’de Lazarus’a atfedilen 625 milyon dolarlık Ronin ağ ihlaline benzer büyük ölçekli hırsızlıkları potansiyel olarak kolaylaştıran, hassas finansal verileri ele alan kuruluşlarda başarılı uzlaşmalara yol açtı.
Bu tür tehditlere karşı koymak için uzmanlar çok katmanlı savunmaları önerir: Windows Applocker veya MacOS bekçi gibi araçlar aracılığıyla katı komut yürütme politikalarının uygulanması, kullanıcıları resmi kanallar aracılığıyla görüşme süreçlerini doğrulama ve anormal macun operasyonlarını tespit etmek için davranışsal analitik dağıtma.
Rapora göre, ağ segmentasyonu ve sıfır tröst mimarileri enfeksiyondan sonra yanal hareketi de sınırlayabilir.
Kripto piyasaları oynaklıkla cızırtılmaya devam ettikçe, bu cızırtılı dolandırıcılıklara karşı uyanıklık çok önemlidir ve gelecekteki evrimleri önlemek için Clickfake gerekli gibi Lazarus kümelerinin sürekli izlenmesi ile devam etmektedir.
Sekoia’nın raporu, bu kalıcı operasyonları ortadan kaldırmak için siber güvenlik topluluğunda işbirlikçi istihbarat paylaşımı ihtiyacını vurgulayarak tehdit avcıları için kapsamlı bir dizi IOC ve Yara kuralları sunuyor.
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now