Kuzey Kore’nin Lazarus Hackerları, Kripto İşleriyle İlgilenen macOS Kullanıcılarını Hedefliyor


Kuzey Kore Hackerları

Kötü şöhretli Lazarus Group, Apple’ın macOS işletim sistemini hedef alan kötü amaçlı yazılımları dağıtmak için istenmeyen iş fırsatlarından yararlanma modelini sürdürdü.

Siber güvenlik şirketi SentinelOne tarafından geçen hafta gözlemlenen kampanyanın en son çeşidinde, Singapur merkezli kripto para borsası şirketi Crypto.com’un reklam pozisyonlarını sahte belgelerle belgeliyor.

En son açıklama, Slovak siber güvenlik firması ESET’in Ağustos ayında Coinbase kripto para birimi değişim platformu için benzer bir sahte iş ilanına ilişkin önceki bulgularına dayanıyor.

Siber güvenlik

Bu sahte iş ilanlarının her ikisi de Operation In(ter)ception olarak adlandırılan bir dizi saldırının en sonuncusu ve bu da, Operation Dream Job adı altında izlenen daha geniş bir kampanyanın parçası.

Kötü amaçlı yazılımın tam dağıtım vektörü bilinmemekle birlikte, iş ağı sitesi LinkedIn’deki doğrudan mesajlar yoluyla potansiyel hedeflerin seçildiğinden şüpheleniliyor.

Kuzey Kore Hackerları

İzinsiz girişler, Crypto.com’daki iş listelerini içeren sahte PDF belgesini başlatan ve arka planda Terminal’in kaydedilmiş durumunu (“com.apple.Terminal. saveState”).

İndirici, aynı zamanda Coinbase saldırı zincirinde kullanılan safarifontagent kitaplığına benzer şekilde, daha sonra “FinderFontsUpdater.app”ın bir kopyası olan “WifiAnalyticsServ.app” adlı bir ikinci aşama paketi için bir kanal görevi görür.

SentinelOne araştırmacıları Dinesh Devadoss ve Phil Stokes, “İkinci aşamanın asıl amacı, üçüncü aşama ikili, wifianalyticsagent’ı çıkarmak ve yürütmektir.” Dedi. “Bu, bir [command-and-control] sunucu.”

Siber güvenlik

Kötü amaçlı yazılımı barındırmaktan sorumlu C2 sunucusunun şu anda çevrimdışı olması nedeniyle, güvenliği ihlal edilmiş makineye teslim edilen son yük bilinmiyor.

Bu saldırılar münferit değildir, çünkü Lazarus Group, yaptırımlardan kaçma mekanizması olarak blok zinciri ve kripto para platformlarında siber saldırılar gerçekleştirme geçmişine sahiptir, bu da rakiplerin kurumsal ağlara yetkisiz erişim elde etmesine ve dijital fonları çalmasına olanak tanır.

Araştırmacılar, “Tehdit aktörleri, muhtemelen kısa vadeli kampanyaları ve / veya hedefleri tarafından çok az tespit edilme korkusunu gösteren ikili dosyaları şifrelemek veya gizlemek için hiçbir çaba göstermedi” dedi.





Source link