Sessiz Push Tehdit Analistleri, kötü şöhretli Lazarus Grubu’nun bir alt grubu olan ünlü Chollima olarak da adlandırılan, bulaşıcı röportaj olarak bilinen Kuzey Koreli ileri kalıcı tehdit (APT) grubu tarafından düzenlenen ürpertici yeni bir siber saldırı kampanyası ortaya çıkardılar.
Devlet destekli bu varlık, özellikle kripto para birimi sektörüne odaklanarak küresel endüstrileri hedefleyen çok sayıda sofistike siber-ihale çabasında rol oynamıştır.
En son operasyonları, meşru kripto para birimi danışmanlığı firmaları Blocknovas LLC, Angeloper Ajansı ve SoftGlide LLC’nin şüphesiz iş arayanları kötü niyetli bir tuzağa çekmek için maskelenmeyi içeriyor.
.png
)
Bu tehdit aktörleri, iş uygulamalarıyla ilgili güvenden yararlanarak, kişisel ve finansal verileri tehlikeye atmayı amaçlayan aldatıcı “görüşme cazibesi” yoluyla kötü amaçlı yazılım dağıtır.
Sofistike Sosyal Mühendislik Hedefleri Kripto para birimi endüstrisi
Bu kampanyanın teknik gücü, her biri Windows, Linux ve MacOS sistemlerinde bilgi hırsızlığı ve daha fazla yük teslimatı için tasarlanmış üç farklı kötü amaçlı yazılım suşunun dağıtılmasında belirgindir.
Öncelikle JavaScript tabanlı bir kötü amaçlı yazılım olan Beaverail, genellikle beceri değerlendirme görevleri olarak gizlenmiş kötü amaçlı GitHub depoları aracılığıyla dağıtılan bir başlangıç vektörü görevi görür.
Yürütüldükten sonra, kalıcılık ve veri açığa çıkması için tasarlanmış çok aşamalı bir python arka kapı olan InvisibleFerret’in indirilmesini kolaylaştırır.
Bu kötü amaçlı yazılım, depolanan şifrelere, kredi kartı bilgilerine ve anahtarlık verilerine erişmek için sofistike teknikler kullanarak Metamask ve Coinbase cüzdanı gibi tarayıcı uzantılarından veri toplayarak kripto para birimi cüzdanı kimlik bilgilerini hedefler.
InvisibleFerret ayrıca, Lianxinxiao gibi komut ve kontrol (C2) sunucularıyla iletişim kurarak ters kabuk özelliklerini ve anahtarlık işlevlerini entegre eder.[.]Com çalınan verileri yüklemek ve daha fazla talimat almak için.
Kötü amaçlı yazılım kampanyaları AI tarafından oluşturulan kişiler ve GitHub depolarından yararlanır
Bu kampanyanın arkasındaki operasyonel altyapı, GitHub, serbest çalışan siteleri ve kötü amaçlı yükleri yaymak için iş listeleme portalları gibi platformları ağır bir şekilde kullanıyor.
Sessiz Push Araştırmacılar, Mail.blocknovas’ta maruz kalan gösterge tabloları gibi kritik OPSEC arızalarını belirlediler[.]Com, Angeloperonline dahil olmak üzere kötü amaçlı yazılım dağıtımı ile bağlantılı alanları izleyen[.]Çevrimiçi ve SoftGlide[.]CO.
Dahası, Remaker AI gibi araçlarla oluşturulan AI tarafından üretilen kişilerin kullanımı, bu sahte şirketlerin aldatıcı özgünlüğünü arttırır.
LinkedIn gibi platformlardaki çalışan profilleri, genellikle Mehmet Demir (diğer adıyla bigrocks918) gibi hayali kimliklere bağlı.
Altyapı bağları, Lianxinxiao ile DNS kayıtlarına ve paylaşılan C2 IP’lerine kadar uzanır[.]Com Ağustos 2024’ten bu yana kötü amaçlı yazılım evrelemesi için kalıcı bir merkez olan 37.221.126.117’ye çözümleme.
Karmaşıklığa ek olarak, tehdit aktörleri, faaliyetlerini gizlemek için Astrill VPN ve konut vekilleri gibi hizmetleri kullanıyor ve tespiti zorlaştırıyor.
Dev gibi platformlarda belgelenen kurban tanıklıkları[.]Blocknovas’ın GitHub depolarından kötü amaçlı kod yürüttükten sonra tehlikeye atılan metamask cüzdanları da dahil olmak üzere gerçek dünya etkilerini ortaya çıkarın.
Silent Push’un analizi, Kuzey Kore APT’lerinin kalıcı sosyal mühendislik taktiklerinin altını çizerek savunucuları bilinmeyen varlıklardan iş tekliflerini incelemeye ve şüpheli alanlar ve IP’ler için monitöre çağırıyor.
Bu kampanya, kripto para birimi iş piyasasında artan siber güvenlik farkındalığının acil ihtiyacını vurgulayarak teknik sofistike ve psikolojik manipülasyonun kesişimini örneklendiriyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!