Kuzey Kore devlet destekli bilgisayar korsanları, bugüne kadarki en büyük kripto para birimi hırsızlığı operasyonu olarak adlandırdıklarını, yüksek profilli bir macOS geliştiricisinin ortamını tehlikeye atan ve Amazon Web Hizmetleri (AWS) altyapılarından yararlanan ayrıntılı bir saldırı zincirinden başarılı bir şekilde çaldılar.
Birden fazla kripto para alışverişini aynı anda hedefleyen sofistike kampanya, eşi görülmemiş bir teknik koordinasyon ve operasyonel güvenlik gösterdi.
İlk uzlaşma, popüler bir kripto para ticareti uygulamasının kod tabanına ayrıcalıklı erişimi olan kıdemli bir geliştiriciyi hedefleyen özenle hazırlanmış bir mızrak avı kampanyası aracılığıyla gerçekleşti.
.png
)
Saldırganlar, lansman ajanları ve dylib kaçırma tekniklerinin bir kombinasyonu ile kalıcılık oluşturan MacOS ortamları için özel olarak tasarlanmış daha önce belgelenmemiş bir kötü amaçlı yazılım varyantı kullandılar.
Yerleştikten sonra, kötü niyetli aktörler, kritik depolara ve bulut hizmetlerine erişim bilgileri de dahil olmak üzere geliştiricinin ortamında tam görünürlük kazandı.
Bu stratejik dayanaktan, saldırganlar ticaret platformunun altyapısının bölümlerini barındıran birden fazla AWS örneğine döndüler.
Saldırganlar, geliştiricinin meşru AWS kimlik bilgilerinden yararlanarak, geleneksel algılama mekanizmalarından kaçınırken sistem boyunca ek arka kapı kullanmayı başardılar.
Kampanya, olağandışı işlem kalıpları güvenlik uyarılarını tetiklemeden önce yaklaşık 18 gün boyunca tespit edilmedi.
Elastik araştırmacılar, birkaç kripto para birimi borsasından anormal ağ trafik modellerini gözlemledikten sonra saldırıyı belirlediler.
Analizleri, saldırganların gerçek konumunu gizlemek için tasarlanmış birden fazla vekil ve şifreli iletişim kanallarını kullanarak sofistike bir komut ve kontrol altyapısı ortaya koydu.
Elastik araştırma ekibinin kapsamlı analizlerinde “Bu, DPRK’nın siber yeteneklerinde önemli bir evrimi temsil ediyor” dedi.
İnfaz akışı
Kötü amaçlı yazılımların enfeksiyon mekanizması, ilk yükü gizleyen görünüşte iyi huylu bir uygulama güncellemesi ile başlayarak çok aşamalı bir yaklaşıma dayanıyordu.
Yürütme üzerine, kötü amaçlı yazılım, kalıcılık oluşturmak için aşağıdaki kabuk komut dosyasını dağıtacaktır:-
#!/bin/bash
mkdir -p ~/Library/LaunchAgents/
cat > ~/Library/LaunchAgents/com.trading.updater.plist
Label
com.trading.updater
ProgramArguments
/usr/bin/python3
$HOME/.hidden/loader.py
RunAtLoad
KeepAlive
EOF
launchctl load ~/Library/LaunchAgents/com.trading.updater.plist.webp)
Bu komut dosyası daha sonra, ödün verilen AWS S3 kovalarından sonraki aşamalı yükleri alan Python tabanlı bir yükleyici yürütür. Kötü amaçlı yazılım, sanallaştırma ve hata ayıklama girişimlerini tespit etmek için ortam kontrolleri de dahil olmak üzere sofistike anti-analiz teknikleri kullandı.
AWS pivot teknikleri, kripto para birimi cüzdan verilerinin eksfiltrasyonu için röle puanları olarak hizmet eden geçici örnekler oluşturmak için meşru kimlik bilgilerini kullandıkları için özellikle dikkate değerdi.
Bu meşru AWS kaynakları aracılığıyla trafiği yönlendirerek, saldırganlar faaliyetlerini güvenilir bulut altyapısının arkasında etkili bir şekilde maskeledi.
Güvenlik araştırmacıları, kontrollü ortamlardaki tam saldırı zincirini başarıyla taklit ederek gelecekte benzer saldırılar için tespit fırsatları ve potansiyel azaltma stratejileri hakkında önemli bilgiler sağladı.
Bu olay, DPRK’ye bağlı grupların dünya çapında finansal kurumlara ve kripto para birimi platformlarına yönelttiği tehdidi vurgulamaktadır.
Are you from the SOC and DFIR Teams? – Analyse Real time Malware Incidents with ANY.RUN -> Start Now for Free.