Kucoin’in güvenlik ekibi, finansal olarak motive olmuş siber yemekten tanınan kötü şöhretli devlet destekli kolektif olan Lazarus Grubu (APT38) tarafından düzenlenen yeni bir kimlik avı kampanyası ortaya çıkardı.
Hükümet kaynakları ve yüksek profilli ihlaller tarihi ile donanmış olan Lazarus, dünya çapında kripto para birimini ve finansal kurumları hedeflemek için taktiklerini geliştirmeye devam ediyor.
Son on yılda Lazarus, yüksek değerli kurbanlara sıfırlamadan önce geniş bir ağ oluşturan bankalar, kripto para birimi borsaları ve ilgili işletmelere ev sahipliği yaptı.
Hibrit stratejileri, bildirilmemiş güvenlik açıklarını ortaya çıkarmak için geçmiş operasyonlarda güvenlik araştırmacılarını bile engellemiştir. Kitle kimlik avı çabaları ve hassas grevler arasında değişerek, Lazarus hem erişim hem de etkisi en üst düzeye çıkarır
Lazarus, çeşitli saldırı vektörleri cephaneliği kullanıyor:
Sahte iş ilanlarından ve kimliğe bürünmüş e-postalardan yararlanan mızrak aktı kampanyaları;
sık ziyaret edilen alanların sulama deliği uzlaşmaları;
lekeli GIT ve NPM paketleri yoluyla tedarik zinciri müdahaleleri;
ve kurban profillerine göre uyarlanmış son derece uyarlanmış sosyal mühendislik.
Kimlik avı dizileri tipik olarak LinkedIn, Telegram veya X üzerinde başlar ve saldırganlar işe alım görevlileri olarak maskelenir. Hedefler, “görüşme” senaryolarına çekilir, sonuçta kimlik bilgilerini ve sifonları kripto para birimini toplayan kötü amaçlı kod çalıştırmaya zorlanır.
Bu yeni kampanya, yakın zamanda açıklanan GIT Symlink güvenlik açığı olan CVE-2025-48384’ten yararlanıyor. Teknik profesyonel katılımlarda, kurbanlardan kötü niyetli bir depoyu klonlayarak bir “kodlama testi” yapmaları istenir.
Klon işlemi sırasında GIT, api/db_drivers Deponun dahili modüllerine işaret ederek ekilmiş bir post-checkout kanca. Bu kanca bir Node.js Backdoor’u tetikler (mongodb.hook.js), daha fazla yük teslimatı için kalıcı bir bağlantı kurma.
Teknik olmayan personeli hedefleyen saldırılarda, tehdit aktörleri sahte röportaj kimlik avı yapmak için LinkedIn ve X (Twitter) kullanıyor.
MacOS’ta komut dosyası indirir ve yükler cdrivMac.shbir zip arşivi getiren bir indirici/kalıcılık aracı (CDrivers.zip) GO tabanlı bir stealer ve gizlenmiş ChAudioFixer.app Fayda.
Bir Launchagent Plist, şifre, çerez ve cüzdan hırsızlığı etkinleştirerek girişte yürütülmesini sağlar.
Lazarus operatörleri LinkedIn mesajlarını sahte görüşme davetleriyle gönderdi. Mağdurlar, birden fazla form gönderiminin uzun süreli katılımı maskelediği Aptiscore.com’a yönlendirildi.
Teknik olmayan hedefler farklı bir ruse ile karşı karşıya: “kamera sürücüsünün eksik” hatasını iddia eden sahte bir video-müdahale sitesi. Mağdurlar, bir kabuk komut dosyası yürütmeye çağıran tekrarlanan pop-up’lar alırlar.
“Video görüşmesi” sırasında kurbanlar, bilmeden kötü amaçlı yazılımları yükleyerek Technudge.pr’den alınmış bir terminal komutu yayınladılar.
Yükleyici komut dosyasının analizi, kendi kendini temizlemeden önce sistem profili oluşturma, uzaktan dosya kontrolü ve kimlik bilgisi eksfiltrasyonu için yetenekleri ortaya çıkarır.
Kötü amaçlı yazılım analizi
- Bir indirici komut dosyası (
cloud.shdoğru ikili (arm64 veya intel) seçen ve onu~/Library/LaunchAgents. - Tarayıcı çerezlerini ve şifreleri hasat eden GO derlenmiş bir stealer.
- Gizlenmiş bir uygulama (
ChAudioFixer.app) isteğe bağlı kullanıcı arayüzü kurbanları yanıltmaya sunar.
Windows’ta kurbanlar indirmek için bir PowerShell veya CMD komutu çalıştırıyor cdrivWin.zipgenişletme %TEMP%\cdrivWin. Bir update.vbs Komut dosyası özleri nvidia.py ve yeniden adlandırılan bir şekilde yürütür python.exe (csshost.exe), daha sonra bir kayıt defteri anahtarı üzerinden kalıcılığı kaydeder. Software\Microsoft\Windows\CurrentVersion\Run.
Bu araç seti, CORS-parser paketlerini kötüye kullanan NPM zehirlenme olayı ve MAC eksfiltrasyonu için Dropbox kullanımı da dahil olmak üzere altyapıyı daha önceki Lazarus operasyonlarıyla paylaşıyor.
Grubun UrlComponents için tutkusu, daha yeni varyantlarda şaşkınlık, güvenlik araçlarından kaçınmak için devam eden bir arıtma gösteriyor
GIT SymLink istismarına ek olarak Lazarus, zehirli NPM modülleri (örn. Matrix-Charts, RTKL), tehlikeye atılmış özel GitHub depoları ve kötü amaçlı fermuar paketleri aracılığıyla tedarik zinciri saldırılarına devam ediyor.
Mağdurlar, telgraf tabanlı işe alım profilleri aracılığıyla ikna edilir, GitLab depolarını gömülü kancalarla klonlamasını ister ve backdoor kurulumuna tabi tutulur. post-checkout veya pre-commit tetikleyiciler.
Lazarus Group’un son kampanyası, kripto para birimi ve finans sektörleri için kalıcı tehdidin altını çiziyor.
Kuruluşlar ve bireyler istenmeyen teknik testleri reddetmeli, depo kökenlerini incelemeli ve bilinmeyen senaryoları yürütmekten kaçınmalıdır. Dikkat ve şüphecilik, bu sofistike kimlik avı ve tedarik zinciri saldırılarına karşı ilk savunma hattı olmaya devam ediyor.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.