Kuzey Kore bağlantılı Lazarus Grubu’nun, yeni bir siber saldırı kampanyasına atfedildiği belirtiliyor. Operasyon 99 Bu, kötü amaçlı yazılım dağıtmak için serbest Web3 ve kripto para birimi çalışması arayan yazılım geliştiricilerini hedef aldı.
SecurityScorecard’ın Tehdit Araştırması ve İstihbaratından sorumlu kıdemli başkan yardımcısı Ryan Sherstobitoff, bugün yayınlanan yeni bir raporda, “Kampanya, LinkedIn gibi platformlarda poz veren sahte işe alım görevlileriyle başlıyor, geliştiricileri proje testleri ve kod incelemeleriyle cezbediyor.” dedi.
“Kurban yemi yuttuğunda, kötü amaçlı bir GitLab deposunu klonlamaya yönlendiriliyor; görünüşte zararsız ama felaketle dolu. Klonlanan kod, komuta ve kontrol (C2) sunucularına bağlanarak kurbanın ortamına kötü amaçlı yazılım yerleştiriyor.”
Kampanyanın kurbanları dünya genelinde tespit edildi ve İtalya’da önemli bir yoğunluk kaydedildi. Daha az sayıda etkilenen mağdur ise Arjantin, Brezilya, Mısır, Fransa, Almanya, Hindistan, Endonezya, Meksika, Pakistan, Filipinler, İngiltere ve ABD’de bulunuyor.
Siber güvenlik şirketi, 9 Ocak 2025’te keşfettiği kampanyanın, özellikle Web3 ve kripto para birimi alanlarındaki geliştiricileri hedeflemeye odaklanmak için Dream Job Operasyonu (diğer adıyla NukeSped) gibi daha önce Lazarus saldırılarında gözlemlenen iş temalı taktiklere dayandığını söyledi.
Operasyon 99’u benzersiz kılan şey, geliştiricileri, daha sonra onları sahte GitLab depolarına yönlendirmek için kullanılan aldatıcı LinkedIn profilleri oluşturmayı içeren ayrıntılı bir işe alım planının parçası olarak kodlama projeleriyle cezbetmesidir.
Saldırıların nihai hedefi, geliştirme ortamlarından kaynak kodunu, sırları, kripto para birimi cüzdan anahtarlarını ve diğer hassas verileri çıkarabilen veri çalma implantlarını dağıtmaktır.
Bunlar arasında Main5346 ve üç ek yük için indirici görevi gören Main99 çeşidi yer alıyor:
- Sistem verilerini (örn. dosyalar ve pano içeriği) toplayan, web tarayıcısı işlemlerini sonlandıran, rastgele yürüten ve C2 sunucusuyla kalıcı bir bağlantı kuran Payload99/73 (ve işlevsel olarak benzer Payload5346)
- Kimlik bilgisi hırsızlığını kolaylaştırmak için web tarayıcılarından veri çalan Brow99/73
- Klavye ve pano etkinliğini gerçek zamanlı olarak izleyen ve dışarı çıkaran MCLIP
Şirket, “Geliştirici hesaplarının güvenliğini ihlal ederek, saldırganlar yalnızca fikri mülkiyet haklarını sızdırmakla kalmıyor, aynı zamanda kripto para cüzdanlarına da erişim sağlayarak doğrudan finansal hırsızlığa olanak sağlıyor” dedi. “Özel ve gizli anahtarların hedefli olarak çalınması, milyonlarca dijital varlığın çalınmasına yol açarak Lazarus Grubunun mali hedeflerini ilerletebilir.”
Kötü amaçlı yazılım mimarisi modüler bir tasarımı benimser, esnektir ve Windows, macOS ve Linux işletim sistemlerinde çalışabilir. Aynı zamanda ulus devlet siber tehditlerinin sürekli gelişen ve uyarlanabilir doğasını vurgulamaya da hizmet ediyor.
Sherstobitoff, “Kuzey Kore için bilgisayar korsanlığı gelir getiren bir cankurtaran halatıdır” dedi. “Lazarus Grubu, rejimin hırslarını beslemek için sürekli olarak çalınan kripto para birimini akıttı ve şaşırtıcı meblağlar biriktirdi. Web3 ve kripto para endüstrilerinin hızla gelişmesiyle birlikte, Operasyon 99 bu yüksek büyüme gösteren sektörlere odaklanıyor.”