Kripto Para Dolandırıcılığı, Siber Savaş / Ulus Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
BlueNoroff, TTP’leri Sızdırıldıktan Sonra 2023’te Saldırı Taktiklerini Değiştirdi
Jayant Chakraborty (@JayJay_Tech) •
23 Mayıs 2023
Kuzey Kore ordusuyla bağlantılı BlueNoroff bilgisayar korsanı grubu, RustBucket kötü amaçlı yazılımını, başta Amerika Birleşik Devletleri ve Asya’daki kullanıcıların macOS sistemlerini hedeflemek için kullanıyor.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakende Sektörünün ATO ve Dolandırıcılığı Önleme Zorluğunun Üstesinden Gelmek
Kuzey Kore ordusunun Genel Keşif Bürosu’nun ana birimi olan Bureau 121 ile ilişkili BlueNoroff, rejimin mali ve jeopolitik hedeflerini ilerletmek için siber operasyonlar yürüten birkaç Kuzey Kore ulus-devlet grubundan biridir. 2022’de ABD Dışişleri Bakanlığı, BlueNoroff, Andariel, APT38, Guardians of Peace ve Lazarus Group hakkında bilgi için 10 milyon dolarlık bir ödül teklif etti.
Şubat ayında Güney Kore, totaliter rejimin nükleer ve füze geliştirme programlarını finanse etmek için yasa dışı siber faaliyetler yürüten dört Kuzey Koreli kişiye ve BlueNoroff dahil yedi kuruluşa karşı yaptırımlar açıkladı (bkz:: Güney Kore Yaptırımları Pyongyang Hackerları).
BlueNoroff genellikle kötü amaçlı yazılım içeren Word belgelerini, PDF’leri veya PowerPoint dosyalarını gömer ve kripto para birimini çalmak için ikinci aşama kötü amaçlı yazılım kullanır. Kaspersky araştırmacıları geçen yıl tehdit grubunun optik disk görüntüsünü de kullandığını keşfetti – .iso uzantı – ve sanal sabit disk – .vhd uzantı – Microsoft Windows’un Web Güvenliği İşaretini atlamak için dosya biçimleri (bkz: BlueNoroff Bilgisayar Korsanları Bankaları Taklit Eder, Windows Korumasını Atlar).
Paris merkezli tehdit istihbaratı şirketi Sekoia’daki araştırmacılara göre BlueNoroff, grup için bir ilk olan macOS çalıştıran sistemleri hedeflemek için Aralık 2022’de RustBucket kötü amaçlı yazılımını kullanmaya başladı. Tehdit aktörleri geçmişte Windows’u ve son zamanlarda Linux işletim sistemlerini hedef alırken, Apple’ın MacOS’u şu anda Amerika Birleşik Devletleri’ndeki tüm masaüstü bilgisayarların %31’inde çalışıyor ve bu da onu daha çekici bir hedef haline getiriyor.
Saldırıda grup, kurbanlara hedef odaklı kimlik avı e-postaları göndererek onlardan bir PDF okuyucu indirmelerini ve bir risk sermayesi şirketi hakkında bilgiler içeren belirli bir PDF dosyasını açmalarını ister. PDF dosyası ayrıca komuta ve kontrol sunucusundan RustBucket öldürme zincirinin arka kapı bileşenini indirmesini isteyen kötü amaçlı kod içerir. Arka kapı, sistem bilgilerini toplar ve POST isteklerini kullanarak C2’ye gönderir. Sekoia, RustBucket’in Windows sürümünün benzer şekilde çalıştığını ve saldırı zincirinin BlueNoroff’un ikinci aşama kötü amaçlı yazılım yerleştirmek için LNK, MSI, OneNote ve VHD dosyalarını kullandığı önceki kampanyalarına benzediğini söyledi.
Hacker grubu, SecureList’in grubun taktiklerini, tekniklerini ve prosedürlerini açık kaynak topluluklarında yayınlamasının ardından 2023’te saldırı modelini değiştirdi. Sekoia, grubun artık Web İşareti işaretini atlamak için VHD ve CAB dosyalarını kullanmadığını, ancak Mart ayında kötü amaçlı kod bırakmak ve yürütmek için MSI ve OneNote dosyalarını kullandığını söylüyor.
Tehdit istihbaratı şirketi ayrıca BlueNoroff’un “Avrupa, Asya ve Kuzey Amerika’da bulunan fon yönetimi ve girişim fonu, kripto varlıkları ve blok zincirinde yer alan kuruluşların” gerçek alan adlarını taklit eden birçok yazım hatası alan adı kurduğunu tespit etti.
Sekoia, “BlueNoroff’un bu varlıkları hedef alma girişimi veya diğer bireyleri ve/veya kuruluşları hedef almak için bu kuruluşlar kılığına girip girmemesi bir istihbarat açığı olmaya devam ediyor” dedi ve BlueNoroff’un tipik olarak finansla ilgili kurumları hedef aldığını da sözlerine ekledi.
“Yazım hatası alan adlarına ve Sekoia.io’ya atfedilen güven seviyelerine dayanarak, Asya ve ABD’ye güçlü bir odaklanma belirledik. BlueNoroff’un coğrafi hedefleme ataması. Laos ve Tayland’ın hedeflendiğini gösteren alan adlarını da aldık” dedi.