Kuzey Kore tehdit aktörleri, karmaşık siber operasyonlarını kripto para birimi girişimlerine karşı artırdılar ve hedef kuruluşlara sızmak için hileli zoom toplantı davetlerini kullanan gelişmiş bir kötü amaçlı yazılım kampanyası uyguladılar.
Bir yılı aşkın bir süredir aktif olan kampanya, özellikle Web3, kripto para birimi ve blockchain sektörlerinde faaliyet gösteren bireyleri ve işletmeleri dikkatle düzenlenmiş sosyal mühendislik saldırıları yoluyla hedefliyor.
Saldırı metodolojisi, kurbanları kazançlı iş fırsatları vaatleriyle çeken mızrak-aktı kampanyalarından başlayarak önceki Kuzey Kore operasyonlarıyla tutarlı olmaya devam ediyor.
Tehdit aktörleri, potansiyel hedeflerle, tipik olarak kripto endüstrisindeki profesyonellerle iş arayan ve Zoom yoluyla yürütülen sahte görüşmeler düzenlemektedir.
Mağdurlar katılmayı kabul ettikten sonra, “Zoom SDK güncelleme komut dosyası” yürütmek için talimatların yanı sıra meşru zoom toplantı bağlantıları gibi görünen kötü niyetli e -postalar alırlar.
Moonlock analistleri, bu kampanyada önemli teknik evrim belirlediler ve saldırganların birden fazla programlama dilinin entegrasyonu yoluyla kötü amaçlı yazılımlarının karmaşıklığını önemli ölçüde artırdığını belirtti.
Bu stratejik değişim, algılama sistemlerinden kaçınmak ve daha yeni, niş programlama dillerine aşina olmayan siber güvenlik araştırmacılarını karıştırmaya yönelik kasıtlı bir girişimi temsil etmektedir.
Kötü amaçlı yazılım dağıtım süreci, güvenlik araştırmacılarının “eklektik senaryo ve ikili” olarak tanımladığı şeyleri kullanan tehdit aktörleri ile dikkate değer bir teknik karmaşıklık göstermektedir.
Sentinel One’ın 2 Temmuz 2025’te yayınlanan kapsamlı analizine göre, saldırı zinciri, yerel macOS çevre manipülasyonu için elma metnini, temel işlevsellik için C ++ ve gelişmiş kaçırma yetenekleri için NIM-derilen ikili dosyaları içeriyor.
Bu çok dilli yaklaşım, araştırmacıların her bir programlama dilinin genel saldırı altyapısında belirli bir amaca hizmet ettiği şifreleme bir bulmaca olarak karakterize ettiklerini yaratır.
Programlama dili çeşitliliği yoluyla gelişmiş kaçırma
Bu kampanyadaki en önemli teknik ilerleme, kötü niyetli aktörler için önemli avantajlar sağlayan nispeten belirsiz bir programlama dili olan NIM’in stratejik uygulanmasını içerir.
NIM’in derleme yetenekleri, geleneksel imza tabanlı algılama sistemlerini etkili bir şekilde atlayabilen yerel ikili dosyaların oluşturulmasına izin verir.
Dilin sözdizimi ve davranış kalıpları, otomatik güvenlik analiz araçlarında kör noktalar oluşturarak yaygın olarak analiz edilen kötü amaçlı yazılım dillerinden önemli ölçüde farklıdır.
Yürütüldüğünde, kötü amaçlı yazılım, güvenli WebSocket bağlantıları aracılığıyla kalıcı iletişim kanallarını oluşturur ve gerçek zamanlı komut yürütme ve veri açığa çıkmasını sağlar.
.webp)
Kötü niyetli kod, kromya, cesur, kenar, firefox ve ark tarayıcılarından tarayıcıda depolanmış kimlik bilgilerini, kripto para birimi alışverişi ve dijital cüzdanlarla ilişkili kaydedilmiş şifrelere ve oturum çerezlerine odaklanarak hedefler.
Kötü amaçlı yazılım ayrıca, depolanan kimlik doğrulama kimlik bilgilerini çıkarmak için MacOS anahtarlık veritabanlarını tehlikeye atarken, aynı zamanda şifreli mesaj veritabanlarını ve potansiyel olarak iki faktörlü kimlik doğrulama kodlarını içeren telgraf kullanıcı verilerini hasat eder.
Bu kapsamlı veri toplama stratejisi, tehdit aktörlerinin mağdurların kripto para birimi varlıklarına ve ilgili finansal hesaplarına tam erişim elde etmelerini sağlar.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi