Yeni bir Group-IB raporu, Kuzey Koreli Lazarus Grubu’nun “Hevesli Kripto Kunduzları” kampanyası olarak bilinen devam eden bir kampanyasını vurguluyor. Bu grup, kötü amaçlı yazılımları dağıtmak için sahte iş teklifleri ve kötü amaçlı video konferans uygulamaları gibi karmaşık taktikler kullanıyor.
Group-IB’nin yeni raporuna göre, kötü şöhretli Kuzey Koran hükümeti destekli Lazarus Group, finansal olarak motive edilmiş siber kampanyalarını artırıyor. “Hevesli Kripto Kunduzları” olarak adlandırılan devam eden kampanya, blockchain profesyonellerini ve geliştiricilerini hedeflemek için giderek daha karmaşık taktikler kullanıyor.
Bulaşıcı Röportaj Kampanyası
Araştırmacılar, kurbanların sahte iş teklifleriyle kandırıldığı “Bulaşıcı Mülakat” adlı bir kampanya gözlemlediler. İş arayanlar, “BeaverTail” adlı bir kötü amaçlı yazılım çeşidi içeren kötü amaçlı bir Node.js projesini indirmeye ve çalıştırmaya kandırılıyor. BeaverTail daha sonra “GörünmezFerret” olarak bilinen bir Python arka kapısını devreye sokarak hassas verileri çalıyor.
Tehdit aktörleri, meşru platformları taklit etmek için “FCCCall” gibi sahte video konferans uygulamaları kullanarak saldırı yöntemlerini genişletti. Bu uygulamalar klonlanmış web siteleri aracılığıyla dağıtılıyor ve BeaverTail kötü amaçlı yazılımı için bir dağıtım mekanizması görevi görüyor.
Group-IB’nin Hackread.com ile paylaştığı son raporda, Lazarus Group’un yeni saldırı taktikleri arasında LinkedIn’in yanı sıra WWR, Moonlight ve Upwork gibi iş portallarının da yer aldığı ortaya çıktı.
Ayrıca, Telegram gibi platformları kullanarak grup kurbanları daha da manipüle ediyor. Lazarus ayrıca GitHub’daki oyun ve kripto para projelerine kötü amaçlı JavaScript enjekte etti ve şimdi BeaverTail gibi kötü amaçlı yazılımları yüklemek için meşru hizmetleri taklit eden “FCCCall” gibi sahte video konferans uygulamaları dağıtıyor. Windows’a yüklendikten sonra BeaverTail, başka bir kötü amaçlı yazılım olan InvisibleFerret’i çalıştırmadan önce tarayıcı kimlik bilgilerini ve kripto para cüzdanı verilerini çalıyor.
BeaverTail zararlı yazılımının macOS cihazlarını da hedef aldığını belirtmekte fayda var.
Grubun kötü amaçlı depoları, komuta ve kontrol (C2) sunucularından ek tehditler getiren ve tespiti zorlaştıran gizlenmiş kod içerir. Dahası, BeaverTail’in Python sürümü ve başka bir araç olan CivetQ, AnyDesk üzerinden uzaktan erişimi etkinleştirir ve Windows, macOS ve Linux sistemlerinde kalıcılığı garanti eder.
Daha da kötüsü, Lazarus veri hırsızlığı hedeflerini tarayıcı uzantıları, parola yöneticileri ve hatta Microsoft Sticky Notes’u da kapsayacak şekilde genişletti ve çalınan verileri FTP ve Telegram aracılığıyla sızdırdı. Tehlikenin temel göstergeleri (IOC’ler) arasında kötü amaçlı yazılım indirmeleri için C2 uç noktaları ve benzersiz dosya imzaları yer alır.
Şaşırdınız mı? Şaşırmayın!
Siber saldırılar yoluyla yüz milyonlarca dolar çalarak Kuzey Kore ekonomisinin finansmanına yardımcı olmasıyla bilinen Lazarus Group, yeni taktikler kullanıyor. Bu değişim şaşırtıcı değil ve siber saldırıların hem şirketler hem de bireyler için büyük bir tehdit olduğunun açık bir hatırlatıcısı.
Bu nedenle, işletmelerde ve okullarda siber güvenlik eğitimi zorunlu olmalıdır. İnsanlar ayrıca uyanık olmalı ve dolandırıcılıklardan ve gerçek olamayacak kadar iyi görünen tekliflerden kaçınmak için sağduyularını kullanmalıdır.
İLGİLİ KONULAR
- Federal Hükümet, ABD Şirketlerini Hedef Alan Kuzey Kore Kimlik Hırsızlığı Çetesini Çökertti
- Bilgisayar korsanları işsiz ABD gazilerini dolandırmak için sahte iş sitesi kullandı
- KnowBe4, BT Uzmanı Olarak Kuzey Koreli Bir Hacker’ı İşe Almaya Zorlandı
- Sahte LinkedIn iş teklifi dolandırıcılığı yayılıyor More_eggs arka kapısı
- Sahte GitHub Depoları YİNE Kötü Amaçlı Yazılımları PoC Olarak Kullanırken Yakalandı!
- Çalışan, Yapay Zeka Tarafından Oluşturulan CFO Tarafından 25,6 Milyon Dolarlık Deepfake Dolandırıcılığında Dolandırıldı
- Sahte PoC Komut Dosyası Araştırmacıları VenomRAT’ı İndirmeye Kandırdı