Kuzey Kore’nin ünlü Lazarus Grubu, dünya çapındaki kripto para birimi kullanıcılarından çalmak için iyi tasarlanmış bir sahte oyun web sitesi, artık yamalı bir Chrome sıfır gün hatası, profesyonel LinkedIn hesapları, yapay zeka tarafından oluşturulan görseller ve diğer hileler kullanıyor.
Grup, ayrıntılı kampanyayı Şubat ayında başlatmış gibi görünüyor ve o zamandan beri X üzerinde birden fazla hesap kullandı ve kötü amaçlı yazılım bulaşmış kripto oyun sitelerini tanıtmak için kripto para birimi alanındaki etkili isimleri kandırdı.
Ayrıntılı Kampanya
“Yıllar geçtikçe pek çok şeyi ortaya çıkardık. [Lazarus] Kripto para endüstrisine yönelik saldırılar var ve kesin olan bir şey var: bu saldırılar ortadan kalkmayacak” dedi. Kaspersky’deki araştırmacılaryeni bir kötü amaçlı yazılım bulaşmasını araştırırken en son kampanyayı keşfettikten sonra. Güvenlik sağlayıcısı, “Lazarus üretken yapay zekayı başarıyla kullanmaya başladı ve bunu kullanarak daha da ayrıntılı saldırılar gerçekleştireceklerini tahmin ediyoruz” dedi.
Devlet destekli Lazarus grubu henüz pek tanınabilir bir isim olmasa da, kolaylıkla faaliyet gösteren en üretken ve tehlikeli siber tehdit aktörleri arasında yer alıyor. Bir saldırıyla manşetlere çıktığından beri Sony Resimleri 2014 yılında Lazarus ve alt gruplar gibi Andariel Ve Mavinoroff – sahip olmak Sayısız kötü şöhretli güvenlik olayında yer aldı. Bunlar şunları içermektedir: WannaCry fidye yazılımı Salgın, 81 milyon dolarlık soygun Bangladeş Bankasıve bunu yapmaya çalışır COVID aşısıyla ilgili sırları çalmak Salgının en yoğun olduğu dönemde büyük ilaç şirketlerinden.
Analistler, fidye yazılımı, kart hırsızlığı ve kripto para birimi kullanıcılarını içerenler de dahil olmak üzere grubun mali amaçlı saldırılarının çoğunun gerçekten ciddi olduğuna inanıyor. gelir elde etmeye çalışır para sıkıntısı çeken Kuzey Kore hükümetinin füze programı için.
Son kampanyada grup, geçmiş kampanyalarda kullanılan bazı sosyal mühendislik hilelerini geliştirmiş görünüyor. Yeni dolandırıcılığın merkezinde, ziyaretçileri NFT tabanlı çok oyunculu bir çevrimiçi tank oyunu indirmeye davet eden, profesyonelce tasarlanmış bir ürün sayfası olan detankzone dot-com yer alıyor. Kaspersky araştırmacıları oyunun iyi tasarlanmış ve işlevsel olduğunu buldular, ancak bunun nedeni Lazarus oyuncularının oyunu oluşturmak için meşru bir oyunun kaynak kodunu çalmasıydı.
Chrome’da Sıfır Gün ve İkinci Bir Hata
Kaspersky, web sitesinin Chrome’daki iki güvenlik açığına yönelik yararlanma kodu içerdiğini tespit etti. Bunlardan biri şu şekilde takip edildi: CVE-2024-4947, Chrome’un V8 tarayıcı motorunda daha önce bilinmeyen bir sıfır gün hatasıydı. Saldırganlara, özel hazırlanmış bir HTML sayfası aracılığıyla bir tarayıcı sanal alanı içinde rastgele kod çalıştırmanın bir yolunu verdi. Google güvenlik açığını ele aldı Mayıs ayında Kaspersky’nin kusuru şirkete bildirmesinin ardından.
Diğeri Chrome güvenlik açığı Kaspersky’nin Lazarus Group’un en son istismarında gözlemlediği şey, bunun resmi bir tanımlayıcıya sahip olmadığıdır. Saldırganlara Chrome V8 sanal alanından tamamen kaçma ve sisteme tam erişim sağlama yolu verdi. Tehdit aktörü, güvenliği ihlal edilen sisteme daha fazla kötü amaçlı yük dağıtıp dağıtmayacağına karar vermeden önce, güvenliği ihlal edilen sistem hakkında bilgi toplamak amacıyla kabuk kodunu dağıtmak için bu erişimi kullandı. Manuscrypt adında bir arka kapı.
Kampanyayı dikkat çekici kılan şey, Lazarus Grubu aktörlerinin sosyal mühendislik açısından ortaya koyduğu çabadır. Kaspersky araştırmacıları Boris Larin ve Vasily Berdnikov, “Kampanyanın etkinliğini en üst düzeye çıkarmak için güven duygusu oluşturmaya odaklandılar ve tanıtım faaliyetlerinin mümkün olduğunca gerçek görünmesini sağlayacak ayrıntılar tasarladılar” diye yazdı. Sahte oyun sitelerinde orijinallik yanılsaması yaratmak için yapay zeka tarafından oluşturulan içerik ve görsellerin yanı sıra sitelerini X ve LinkedIn aracılığıyla tanıtmak için birden fazla sahte hesap kullandılar.
Larin ve Berdnikov, “Saldırganlar ayrıca, sosyal medyadaki varlıklarını yalnızca tehdidi dağıtmak için değil, aynı zamanda doğrudan kripto hesaplarını hedeflemek için kullanarak, daha fazla tanıtım için kripto para birimi etkileyicileriyle etkileşime geçmeye çalıştı.” diye yazdı.