Kuzey Koreli bilgisayar korsanları, “Gizli Risk” adı verilen yeni ve gelişmiş bir kötü amaçlı yazılım kampanyasıyla kripto para birimi işletmelerini hedef alıyor. Bu gizli saldırının nasıl çalıştığını, kullanılan teknikleri ve büyüyen bu tehdide karşı kendinizi nasıl koruyacağınızı öğrenin.
Kuzey Kore devleti destekli APT grubu ‘MaviNoroffSentinelOne’un Hackread.com ile paylaştığı bulgulara göre ‘Gizli Risk’ adlı bir kampanyayla kriptoyla ilgili işletmeleri hedef alıyor.
SentinelLabs’ın tehdit araştırmacılarının, Kuzey Kore devlet destekli daha büyük tehditlerin bir alt grubu olan BlueNoroff’u keşfettiği bildirildi. Lazarus GrubuTemmuz 2024’te başlayan bir kampanyayla sahte haber başlıkları/kriptoyla ilgili hikayelerle e-posta ve PDF tabanlı yemler kullanarak kripto para birimini ve DeFi işletmelerini hedefliyor.
Saldırıyı Analiz Etmek
Araştırmacılar, saldırganların tespitten kaçmak ve kurban sistemlerini tehlikeye atmak için benzersiz taktikler kullandıklarını belirtti. Saldırı bir olayla başlıyor iyi hazırlanmış kimlik avı e-postası Bu, şüphelenmeyen kurbanları görünüşte meşru bir PDF belgesine yönlendiren kötü amaçlı bir bağlantıya tıklamaya teşvik ediyor; bu bağlantı aslında akıllıca bir PDF okuyucu kılığına girmiş kötü amaçlı Swift dili tabanlı bir Mac uygulamasını gizliyor (19 Ekim 2024’te imzalanmış/noter tasdikli).
“Uygulama, “Bitcoin Fiyatındaki Yeni Dalgalanmanın Arkasındaki Gizli Risk”, “Altcoin Sezon 2.0-İzlenecek Gizli Mücevherler” ve “Stablecoinler ve DeFi için Yeni Çağ” gibi kripto para birimi konusuyla ilgili bir PDF belgesine bağlantı olarak gizlenmiş durumda. CeFi”” araştırmacıları açıkladı.
Bu uygulama yürütüldükten sonra gizlice bir sahte PDF (Gizli Risk) indirir ve ardından hem Intel hem de Apple silikon makinelerinde kötü amaçlı bir x86-64 ikili dosyasını (“büyüme”) indirir/yürütür.
Büyüme kendini ısrarla kurar ve bir arka kapı görevi görür. Virüs bulaşmış sistem hakkında hassas bilgiler topluyor, saldırganlar tarafından kontrol edilen uzak bir sunucuyla iletişim kuruyor ve potansiyel olarak komutları alıp yürütebiliyor.
Kalıcılık Mekanizması
Kalıcılığı sağlamak için saldırganlar, Zsh yapılandırma dosyasını (zshenv) değiştirerek varlığının devam etmesini sağlamak amacıyla kötü amaçlı kod ekleyerek benzersiz bir yöntem tercih etti. Bu, Zsh kabuğu tarafından kullanılan kritik bir dosyadır ve her Zsh oturumu sırasında kaynaklanarak, arka kapının sistem başlatıldığında, hatta yeniden başlatma sonrasında bile otomatik olarak yürütülmesine olanak tanır.
BlueNoroff Bağlantısı
SentinelLabs’ın araştırmacıları bu kampanyayı BlueNoroff’a bağladı çünkü bu, sunucu komutlarını ayrıştırma ve bunları gizli dosyalara kaydetme de dahil olmak üzere geçmiş kampanyalarındaki tekniklere benziyor. Kampanyanın ağ altyapısı analizi ayrıca, daha önceki kampanyalarda aşağıdaki hizmetleri kullanan alan adlarıyla olan bağlantıları da ortaya koyuyor: İsimUcuz ve barındırma için Quickpacket.
Ayrıca kötü amaçlı yazılım, daha önce BlueNoroff’un “PasKovası“kötü amaçlı yazılım ve kötü amaçlı yazılımlarının Apple tarafından noter tasdiki yaptırmak için bir geliştirici hesabından yararlanarak, aşağıdaki gibi güvenlik önlemlerini atlıyor: Bekçi.
Korumalı Kalmak
BlueNoroff’un kripto para borsalarını, risk sermayesi şirketlerini ve bankaları hedef alan bir geçmişi var ve sektör için sürekli bir tehdit oluşturuyor. PDF tabanlı yemleri kullanmayı tercih ediyorlar çünkü PDF belgeleri yaygın olarak kullanılıyor ve güvenilir, bu da onları kötü niyetli yükler için ideal kılıyor.
Son zamanlarda hack okuması rapor edildi BlueNoroff bağlantılı kötü amaçlı yazılım, meşru bir PDF görüntüleyici kılığına giren TodoSwift ve ObjCShellz kötü amaçlı yazılımı macOS’u hedefliyor Intel ve Arm Mac’lerde uzak kabuk komutlarını çalıştırmak için.
Bu nedenle, e-posta adreslerini iki kez kontrol etmek, anonim kaynaklardan gelen e-postalara dikkat etmek ve bilinmeyen e-postalardaki bağlantılara, özellikle de uygulama/PDF indirmenizi istiyorlarsa, tıklamaktan kaçınmak önemlidir. MacOS kullanıcılarının ani artış göz önüne alındığında risklerin farkında olmaları gerekiyor. macOS odaklı saldırılar.
İLGİLİ KONULAR
- Sahte Kuzey Koreli BT Çalışanları Batılı Firmalara Sızıyor
- Kuzey Koreli Hackerlar Play Ransomware ile İşbirliği Yapıyor
- Kuzey Koreli hackerlar kripto borsalarından 1,7 milyar dolar çaldı
- Kuzey Koreli Hackerlar ATM Nakit Ödemeleri İçin Linux Kötü Amaçlı Yazılımlarını Bıraktı
- SnatchCrypto saldırısı arka kapıyla DeFi ve Blockchain Firmalarını vurdu