‘BlueNoroff’ olarak bilinen Kuzey Koreli tehdit aktör grubu, kötü amaçlı belgeler ve sahte MetaMask tarayıcı uzantıları ile kripto para birimi girişimlerini hedef alırken tespit edildi.
Bu grubun amacı, tamamen finansal, ancak hedefleri gerçekleştirmedeki karmaşıklığı, daha önce araştırmacıları bunun şu sonuca varmasına yol açtı: Kuzey Kore Lazarus çetesinin bir alt grubu.
BlueNoroff birkaç yıldır aktif olmasına rağmen, yapısı ve işleyişi gizemle örtülmüştür.
Kaspersky tarafından hazırlanan bir rapor, Kasım 2021’e kadar uzanan en son gözlemlenen etkinlik sırasında toplanan istihbaratı kullanarak biraz ışık tutmaya çalışıyor.
Hedefler
En son saldırılar ABD, Rusya, Çin, Hindistan, Birleşik Krallık, Ukrayna, Polonya, Çek Cumhuriyeti, BAE, Singapur, Estonya, Vietnam, Malta, Almanya ve Hong Kong’da bulunan kripto para girişimlerine odaklanıyor.
Tehdit aktörleri, bu firmaların iletişimlerine sızmaya ve potansiyel sosyal mühendislik yollarını türetmek için çalışanlar arasındaki etkileşimlerin haritasını çıkarmaya çalışır.
Bazı durumlarda, bunu bir çalışanın LinkedIn hesabını tehlikeye atarak ve doğrudan platformda makro bağlantılı bir belgeyi indirmek için bir bağlantı paylaşarak yaparlar.
BlueNoroff, bu gerçek tartışmaları, bağlı belgeleri uygun şekilde adlandırmak ve doğru zamanda hedef çalışana göndermek için kullanır.
Kampanyalarını izlemek için, kurban gönderilen belgeyi açtığında bir bildirim almak üzere üçüncü taraf bir izleme hizmetinden (Sendgrid) bir simge eklerler.
BlueNoroff tarafından taklit edilen şirket isimleri ve logoları aşağıda gösterilmiştir:
Kaspersky’nin belirttiği gibi, bu şirketler tehlikeye atılmamış olabilir ve Sendgrid, Kuzey Kore APT’lerinin onları kötüye kullandığını bilmiyor olabilir (bildirildi).
Enfeksiyon zincirleri
İlk bulaşma zinciri, eski bir uzak şablon ekleme güvenlik açığından (CVE-2017-0199) yararlanan VBS komut dosyalarını içeren belgeleri kullanır.
İkinci bulaşma zinciri, bir kısayol dosyası ve parola korumalı bir belge (Excel, Word veya PDF) içeren bir arşivin gönderilmesine dayanır.
Belgeyi açmak için parolayı içerdiği varsayılan LNK dosyası, bir sonraki aşama yükünü getiren bir dizi komut dosyası başlatır.
Sonunda, her iki durumda da, aşağıdaki işlevlere sahip bir arka kapı, virüslü makineye bırakılır:
- Dizin/Dosya işleme
- Süreç manipülasyonu
- Kayıt defteri manipülasyonu
- Komutları yürütme
- Yapılandırma güncelleniyor
- Chrome, Putty ve WinSCP’den depolanan verileri çalmak
Sahte MetaMask kurbanlardan kripto çaldı
BlueNoroff, yanal hareket ve daha derin ağ sızması için kullanılabilecek kullanıcı kimlik bilgilerini çalarken, kripto para birimi yazılımıyla ilgili yapılandırma dosyalarını da toplar.
“Saldırganların belirgin bir hedef bulduklarını fark ettikleri bazı durumlarda, kullanıcıyı haftalarca veya aylarca dikkatle izlediler” diyor. Kaspersky’nin raporu.
“Finansal hırsızlık için bir strateji planlarken tuş vuruşlarını topladılar ve kullanıcının günlük işlemlerini izlediler.”
Kripto para varlıklarını çalmak için kullanılan ana hile, cüzdan yönetimi tarayıcı uzantılarının temel bileşenlerini yerel belleğe bırakılan kurcalanmış sürümlerle değiştirmektir.
Kaspersky, Metamask Chrome uzantısında değişiklik yapmanın, BlueNoroff’un becerilerini ve kararlılığını gösteren 170.000 satırlık kodun kapsamlı bir analizini gerektirdiğini belirtiyor.
Kurbanlar, yalnızca tarayıcıyı Geliştirici moduna geçirerek ve uzantı kaynağının çevrimiçi mağaza yerine yerel bir dizine işaret ettiğini görerek uzantının sahte olduğunu algılayabilir.
Hedef bir donanım cüzdanı kullandığında, aktörler işlemleri bekler ve alıcının adresini değiştirerek miktarları ele geçirir.
Mağdurun enfeksiyonu fark etmesinden önce tek bir şansları olduğu için, aktörler de işlem miktarını mümkün olan en yüksek seviyeye getirerek varlıkları tek hamlede boşaltır.
Atıf için ipuçları
İlişkilendirme açısından, Kaspersky araştırmacıları, en son ve geçmiş kampanyalarda kullanılan PowerShell komut dosyaları ile arka kapılar arasında örtüşmeler ve benzerlikler gördüğünü bildiriyor.
Ayrıca, C2 adres edinme şeması, bir IP adresini XORing yoluyla çözmek için sabit kodlanmış bir DWORD değeri kullanan 2016 saldırılarına benzer.
Son olarak, ikinci bulaşma zincirinin bir parçası olarak bırakılan Windows kısayol dosyalarındaki meta veriler Korece karakterler içerir.