Muhtemelen BlueNoroff ile bağlantılı olan Kuzey Koreli tehdit aktörleri, kripto para birimi işletmelerini hedef alan çok aşamalı kötü amaçlı yazılım saldırıları başlattı ve araç kitlerini RustDoor/ThiefBucket ve RustBucket kampanyalarını içerecek şekilde genişletti.
Kuzey Kore bağlantılı bir tehdit aktörü olan Hidden Risk, Zsh yapılandırma dosyası manipülasyonunu içeren yeni bir kalıcılık tekniği kullandı.
Kripto para birimi haberleri olarak gizlenen kötü amaçlı PDF ekleri, kriptoyla ilgili işletmeleri tehlikeye atmak amacıyla yükü dağıtmak için kullanıldı.
Kripto para birimiyle ilgili PDF belgeleri olarak gizlenen kimlik avı e-postaları, kurbanları genellikle meşru kişilere ve etki sahibi kişilere yanlış atfedilen kötü amaçlı uygulamaları indirmeye teşvik etmek için sosyal mühendislikten yararlanır. Ayrıca güvenilirliği artırmak ve güvenlik önlemlerini atlatmak için gerçek araştırma makalelerinden de yararlanırlar.
Yönetilen Tespit ve Yanıt Satın Alma Kılavuzu – Ücretsiz İndirin (PDF)
Önceki BlueNoroff taktiklerinin aksine, kişiselleştirilmiş ayrıntılardan yoksun, basit bir kimlik avı e-postası kullanır; gönderen alan adı kalpadvisory’dir.[.]com, Hint borsa topluluklarındaki spam faaliyetleriyle bağlantılıdır.
Delphidigital’de görünüşte zararsız bir bağlantı (Bitcoin ETF belgesi) içeren kimlik avı e-postası[.]org, “Gizli Risk” macOS kötü amaçlı yazılımını dağıtmak için dinamik olarak geçiş yapabilir.
Kötü niyetli Swift uygulaması “Bitcoin Price.app’in Yeni Dalgalanmasının Arkasındaki Gizli Risk” kendisini evrensel bir Mach-O çalıştırılabilir dosyası içeren ve iptal edilmiş bir Apple Geliştirici Kimliği ile imzalanmış bir PDF olarak gizler.
MacOS kötü amaçlı yazılımı, bir dayanak oluşturmak için sahte bir PDF’den yararlanıyor, ardından değiştirilmiş bir Info.plist dosyası aracılığıyla macOS’un varsayılan HTTP güvenlik kısıtlamalarını atlayarak, sabit kodlanmış bir URL’den kötü amaçlı bir x86-64 ikili dosyasını indirip çalıştırıyor.
x86-64 Mach-O arka kapısı, yani ‘büyüme’, arka kapı etkinlikleri için çeşitli işlevlerden yararlanan, uzaktan komutları yürütmek üzere tasarlanmış 5,1 MB imzasız C++ yürütülebilir dosyası olan Rosetta’ya sahip Intel Mac’leri ve Apple silikon cihazlarını hedefliyor.
‘Büyüme’ ikili dosyası, sym.install_char__char_ işlevini kullanarak bir kalıcılık mekanizması başlatır ve ardından işletim sistemi sürümü, donanım modeli, önyükleme zamanı, geçerli tarih ve çalışan işlemler gibi sistem bilgilerini toplar. Ayrıca 16 karakterlik benzersiz bir UUID de oluşturulur.
Ana bilgisayar verilerini alır, bir C2 sunucusuna gönderir, talimatları alır, bunları yürütür ve C2 ve sistemle etkileşim kurmak için HTTP POST isteklerini ve dosya işlemlerini kullanarak tekrarlar.
Daha önce RustBucket kötü amaçlı yazılımında ve benzer C2 yanıt ayrıştırma ve ProcessRequest işlevlerinde görülen “mozilla/4.0” Kullanıcı Aracısı ve “cur1-agent” tanımlayıcıları, geçmiş tehditlerle bir bağlantı olduğunu öne sürüyor.
SaveAndExec işlevi, bir C2 sunucusundan alınan kötü amaçlı yükleri işlerken, yükten bir komut çıkarır, paylaşılan kullanıcı dizininde rastgele bir adla gizli bir dosya oluşturur, izinlerini tam erişime ayarlar ve komutu popen kullanarak çalıştırır.
Tehdit aktörü, macOS kullanıcı bildirimlerini atlayarak kalıcı arka kapı erişimi için Zshenv yapılandırma dosyasından yararlanıyor.
Tamamen yeni olmasa da, bu, kötü amaçlı yazılım yazarları tarafından gözlemlenen ilk kullanımdır ve gizli ve etkili bir kalıcılık mekanizması sağlar.
Gizli Risk kampanyasıyla ilişkili BlueNoroff tehdit aktörü, kripto para birimi ve yatırım organizasyonları temalı bir altyapı ağı oluşturmak için NameCheap ve çeşitli barındırma hizmetlerinden yararlanıyor.
Sentinel Labs, altyapı ilişkilerini, DNS kayıtlarını ve toplu alan adı aramalarını analiz ederek gelecekteki potansiyel hedefler ve kimlik sahtekarlığı girişimleri de dahil olmak üzere daha geniş bir faaliyet kümesi belirledi.
Run private, Real-time Malware Analysis in both Windows & Linux VMs. Get a 14-day free trial with ANY.RUN!