Kuzey Koreli bilgisayar korsanları, kripto para birimi uzmanlarını hedeflemek için sahte Coinbase iş tekliflerini kullanıyor.
Tanınmış Kuzey Koreli hacker grubu Lazarus, hackerların işçileri fintech sektörüne çekmek için Coinbase kılığına girdiği yeni bir sosyal mühendislik planını ortaya çıkardı.
Hacker organizasyonu, bir sosyal mühendislik operasyonunun parçası olarak bir iş teklifi yapmak ve bir konuşma başlatmak için sık sık LinkedIn aracılığıyla insanlarla iletişim kurar.
Şubat 2022’den bu yana Lazarus etkinliğini yakından izleyen Malwarebytes’te bir güvenlik araştırmacısı olan Hossein Jazi, tehdit aktörlerinin şu anda Coinbase’i taklit ettiğini ve “Mühendislik Müdürü, Ürün Güvenliği” pozisyonu için insanları işe almaya çalıştığını iddia ediyor.
Dünyanın en büyük kripto para borsası platformlarından biri, Lazarus’un ünlü bir şirkette kazançlı ve çekici bir iş teklifi yapmasına yardımcı olan Coinbase’dir.
Açık bir konumla ilgili bir PDF olduğunu düşündükleri şeyi indiren kurbanlar, bir PDF simgesi olarak gizlenmiş kötü amaçlı kötü amaçlı yazılımları indirir. Bu durumda, dosya çalıştırıldığında kötü amaçlı bir DLL yükleyen ve aşağıda gösterilen sahte PDF belgesini görüntüleyen “Coinbase çevrimiçi kariyer 2022 07.exe” olarak adlandırılır.
Virüs çalıştırıldığında, virüslü cihazla ne yapılacağına ilişkin talimatları almak için GitHub’ı bir komut ve kontrol sunucusu olarak kullanır.
Bu saldırı zinciri, yılın başında bir blog yazısında açıklanan bir Malwarebyte’a benziyor.
Bleeping Computer’a konuşan Jazi’ye göre, Lazarus hedeflerine kötü amaçlı yazılım bulaştırmak için benzer stratejiler ve teknikler kullanıyor ve çeşitli kimlik avı kampanyaları altyapıyı paylaşıyor.
Lazarus daha önce General Dynamics ve Lockheed Martin kampanyaları için sahte iş teklifleri kullanmıştı.
Lazarus bilgisayar korsanları kripto paranın peşinden gidiyor. Bankalar, kripto para borsaları, NFT piyasaları ve büyük holdingleri olan bireysel yatırımcıların tümü, mali nedenlerle devlet destekli Kuzey Kore hack grupları tarafından hedef alındı.
ABD istihbarat servisleri, yılın başlarında kullanıcıların özel anahtarlarını çalan ve varlıklarını sifonlayan trojanlı kripto para cüzdanlarını ve yatırım uygulamalarını yayan Lazarus tehdidinin altını çizdi.
Nisan ayında ABD Hazinesi ve FBI, Lazarus ile blockchain tabanlı oyun Axie Infinity’den kripto para hırsızlığı arasında bir bağlantı kurarak onları 617 milyon doların üzerinde Ethereum ve USDC tokenlerini çalmakla suçladı.
Temmuz ayında kamuoyuna açıklanan Axie Infinity saldırısı, blockchain mühendislerinden birine gönderilen kazançlı bir iş teklifi hakkında bilgi içeren kötü amaçlı bir PDF dosyasıyla mümkün oldu.
Dosyayı açtıktan sonra mühendisin bilgisayarına virüs bulaştı, bu da Lazarus’un daha fazla yetki kazanmasına ve Ronin Köprüsü’ndeki bir zayıflığı keşfetmeden ve bir istismar başlatmadan önce şirket ağında hareket etmesine izin verdi.
Lazarus muhtemelen en son Coinbase tarafından yönlendirilen kampanya ile benzer bir saldırıyı hedefliyor; tek gereken, bilgisayar korsanlarının şirket ağına erişmesine izin vermek için PDF’yi açmak için sadece bir çalışan.