Kuzey Koreli grup Lazarus’a ait olduğundan şüphelenilen bir grup bilgisayar korsanı, kripto para platformu Bridge Finance’ı hedef aldı. zincirler arası arasında varlıkların transferine izin vermek blok zinciri . Bu saldırganların amacı, bir APT kullanarak platformdan kripto para çalmaktı ( Gelişmiş Kalıcı Tehdit) tarzı saldırı planı.
Bu saldırı planı geçen Perşembe günü bir kimlik avı ile başladı e-posta onları kandırmaya çalışmak için şirket çalışanlarına. Bu e-postada, etkilenen Windows sistemlerinden bilgi toplayan ve saldırının sonraki aşamalarının art arda gelmesine izin verecek ek kötü amaçlı kodların indirilmesine izin veren maskeli bir kötü amaçlı yazılım tanıtıldı.
Saldırganlar tarafından gönderilen e-postanın, şirketin kurucu ortağı Alex Smirnov’dan geldiği ve çalışan maaşlarındaki değişiklikler hakkında yeni bilgiler içerdiği iddia edildi. E-postada, bir Windows kısayol dosyası (.LNK) ile birlikte bir PDF dosyası olduğu iddia edilen ve bir “Password.txt” dosyasına atıfta bulunan “Yeni Maaş Ayarlamaları” adlı bir HTML dosyası vardı.
Bir adrese yönlendirildiği iddia edilen PDF dosyasının açılması bulut saldırının hedefini açmaya zorlayarak Txtaçıldığında, indirilen bir yük uzak bir yerden.
bu yük açmak için programlandı not defteri etkilenen sistemin ESET, Tencent veya Bitdefender gibi bir güvenlik çözümü tarafından korunup korunmadığını kontrol etmenin yanı sıra ‘pdf şifresi: maaş2022’ bilgisiyle. Bu çözümlerden herhangi biri mevcut değilse, kalıcılığını sağlamak için kötü amaçlı dosya sistemin başlangıç klasörüne kaydedilir.
Bir kere kötü amaçlı yazılım sisteme yüklendiğinde, saldırganın komuta ve kontrol sunucusuna daha fazla talimat için istekler gönderdi ve saldırganın APT saldırısının yeni bir aşamasına geçmesine izin verdi: bilgi toplama. Bu bilgiler, kullanıcı adından veya işletim sisteminden CPU, ağ bağdaştırıcıları veya çalışan işlemler hakkındaki bilgilere kadar her şeyi içeriyordu.
Kurucu ortağın kendisine göre, Alex Smirnov, bu kötü amaçlı yazılım yalnızca Windows sistemlerine saldırır, yürütülebilir dosya bir macOS sistemi algılarsa gerçek bir PDF içeren bir ZIP dosyası sağlar. Ayrıca, çoğu deBridge Finance çalışanının e-postayı şüpheli olarak bildirdiğini, ancak içlerinden birinin yemi alıp açıp indirdiğini ve Smirnov’un saldırıyı analiz etmesine izin verdiğini iddia ediyor.
Kuzey Koreli Lazarus grubu olup olmadığını tam olarak doğrulamak mümkün olmasa da, onunla bağlantı kuran birçok tesadüf var.
Bağlantı, grubun kripto uzmanlarına ve çalışma biçimlerine, sahte iş teklifleri veya maaş artışları içeren e-postalar göndererek yapılan çok sayıda saldırı nedeniyle yapıldı. Ayrıca grubun daha önceki saldırılarda kullandığı dosya ve altyapı adlarında, örneğin CryptoCore veya CryptoMimic olarak atıfta bulunulan kampanyalarda tesadüflere rastlandı.
Ayrıca, Lazarus grubunun, aynı sahte PDF hilesini kullanarak ve yalnızca Windows makinelerini hedef alarak, Coinbase iş teklifi iddiasıyla Woo Network platformuna saldırdıkları bu yıl Mart ayından bu yana kripto para birimi şirketlerine karşı aynı kampanyayı yürüttüğü de tespit edildi.
Siber güvenlik ve kötü amaçlı yazılım araştırmacısıdır. Bilgisayar Bilimi okudu ve 2006 yılında siber güvenlik analisti olarak çalışmaya başladı. Aktif olarak siber güvenlik araştırmacısı olarak çalışıyor. Ayrıca farklı güvenlik şirketlerinde çalıştı. Günlük işi, yeni siber güvenlik olayları hakkında araştırma yapmayı içerir. Ayrıca kurumsal güvenlik uygulaması konusunda derin bir bilgi düzeyine sahiptir.