Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın

Güncel Floodlar En sonuncu Nesne

BlueNoroff bilgisayar korsanları sahte MetaMask uzantısı kullanarak kripto çaldı

BlueNoroff bilgisayar korsanları sahte MetaMask uzantısı kullanarak kripto çaldı

‘BlueNoroff’ olarak bilinen Kuzey Koreli tehdit aktör grubu, kötü amaçlı belgeler ve sahte MetaMask tarayıcı uzantıları ile kripto para birimi girişimlerini hedef alırken tespit edildi.

Bu grubun amacı, tamamen finansal, ancak hedefleri gerçekleştirmedeki karmaşıklığı, daha önce araştırmacıları bunun şu sonuca varmasına yol açtı: Kuzey Kore Lazarus çetesinin bir alt grubu.

BlueNoroff birkaç yıldır aktif olmasına rağmen, yapısı ve işleyişi gizemle örtülmüştür.

Kaspersky tarafından hazırlanan bir rapor, Kasım 2021’e kadar uzanan en son gözlemlenen etkinlik sırasında toplanan istihbaratı kullanarak biraz ışık tutmaya çalışıyor.

Hedefler

En son saldırılar ABD, Rusya, Çin, Hindistan, Birleşik Krallık, Ukrayna, Polonya, Çek Cumhuriyeti, BAE, Singapur, Estonya, Vietnam, Malta, Almanya ve Hong Kong’da bulunan kripto para girişimlerine odaklanıyor.

En son kampanyadaki kurban haritası
En son kampanyadaki kurban haritası
Kaynak: Kaspersky

Tehdit aktörleri, bu firmaların iletişimlerine sızmaya ve potansiyel sosyal mühendislik yollarını türetmek için çalışanlar arasındaki etkileşimlerin haritasını çıkarmaya çalışır.

Bazı durumlarda, bunu bir çalışanın LinkedIn hesabını tehlikeye atarak ve doğrudan platformda makro bağlantılı bir belgeyi indirmek için bir bağlantı paylaşarak yaparlar.

BlueNoroff, bu gerçek tartışmaları, bağlı belgeleri uygun şekilde adlandırmak ve doğru zamanda hedef çalışana göndermek için kullanır.

En son BlueNoroff kampanyalarında kullanılan e-posta
En son BlueNoroff kampanyalarında kullanılan e-posta
Kaynak: Kaspersky

Kampanyalarını izlemek için, kurban gönderilen belgeyi açtığında bir bildirim almak üzere üçüncü taraf bir izleme hizmetinden (Sendgrid) bir simge eklerler.

BlueNoroff tarafından taklit edilen şirket isimleri ve logoları aşağıda gösterilmiştir:

Sosyal mühendislik saldırıları için kullanılan logolar ve firmalar
Sosyal mühendislik saldırıları için kullanılan logolar ve firmalar
Kaynak: Kaspersky

Kaspersky’nin belirttiği gibi, bu şirketler tehlikeye atılmamış olabilir ve Sendgrid, Kuzey Kore APT’lerinin onları kötüye kullandığını bilmiyor olabilir (bildirildi).

Enfeksiyon zincirleri

İlk bulaşma zinciri, eski bir uzak şablon ekleme güvenlik açığından (CVE-2017-0199) yararlanan VBS komut dosyalarını içeren belgeleri kullanır.

İlk enfeksiyon zinciri
İlk enfeksiyon zinciri
Kaynak: Kaspersky

İkinci bulaşma zinciri, bir kısayol dosyası ve parola korumalı bir belge (Excel, Word veya PDF) içeren bir arşivin gönderilmesine dayanır.

İkinci enfeksiyon zinciri
İkinci enfeksiyon zinciri
Kaynak: Kaspersky

Belgeyi açmak için parolayı içerdiği varsayılan LNK dosyası, bir sonraki aşama yükünü getiren bir dizi komut dosyası başlatır.

Sonunda, her iki durumda da, aşağıdaki işlevlere sahip bir arka kapı, virüslü makineye bırakılır:

  • Dizin/Dosya işleme
  • Süreç manipülasyonu
  • Kayıt defteri manipülasyonu
  • Komutları yürütme
  • Yapılandırma güncelleniyor
  • Chrome, Putty ve WinSCP’den depolanan verileri çalmak

Sahte MetaMask kurbanlardan kripto çaldı

BlueNoroff, yanal hareket ve daha derin ağ sızması için kullanılabilecek kullanıcı kimlik bilgilerini çalarken, kripto para birimi yazılımıyla ilgili yapılandırma dosyalarını da toplar.

“Saldırganların belirgin bir hedef bulduklarını fark ettikleri bazı durumlarda, kullanıcıyı haftalarca veya aylarca dikkatle izlediler” diyor. Kaspersky’nin raporu.

“Finansal hırsızlık için bir strateji planlarken tuş vuruşlarını topladılar ve kullanıcının günlük işlemlerini izlediler.”

Kripto para varlıklarını çalmak için kullanılan ana hile, cüzdan yönetimi tarayıcı uzantılarının temel bileşenlerini yerel belleğe bırakılan kurcalanmış sürümlerle değiştirmektir.

Bağcıklı Metamask eklentisinde kurcalanmış bileşen
Bağcıklı Metamask eklentisinde kurcalanmış bileşen
Kaynak: Kaspersky

Kaspersky, Metamask Chrome uzantısında değişiklik yapmanın, BlueNoroff’un becerilerini ve kararlılığını gösteren 170.000 satırlık kodun kapsamlı bir analizini gerektirdiğini belirtiyor.

Kurbanlar, yalnızca tarayıcıyı Geliştirici moduna geçirerek ve uzantı kaynağının çevrimiçi mağaza yerine yerel bir dizine işaret ettiğini görerek uzantının sahte olduğunu algılayabilir.

Kurulum kaynağı olarak yerel bir klasörü gösteren uzantı
Kurulum kaynağı olarak yerel bir klasörü gösteren uzantı
Kaynak: Kaspersky

Hedef bir donanım cüzdanı kullandığında, aktörler işlemleri bekler ve alıcının adresini değiştirerek miktarları ele geçirir.

Mağdurun enfeksiyonu fark etmesinden önce tek bir şansları olduğu için, aktörler de işlem miktarını mümkün olan en yüksek seviyeye getirerek varlıkları tek hamlede boşaltır.

Atıf için ipuçları

İlişkilendirme açısından, Kaspersky araştırmacıları, en son ve geçmiş kampanyalarda kullanılan PowerShell komut dosyaları ile arka kapılar arasında örtüşmeler ve benzerlikler gördüğünü bildiriyor.

Farklı arka kapılar arasındaki kod benzerlikleri
Farklı arka kapılar arasındaki kod benzerlikleri
Kaynak: Kaspersky

Ayrıca, C2 adres edinme şeması, bir IP adresini XORing yoluyla çözmek için sabit kodlanmış bir DWORD değeri kullanan 2016 saldırılarına benzer.

Son olarak, ikinci bulaşma zincirinin bir parçası olarak bırakılan Windows kısayol dosyalarındaki meta veriler Korece karakterler içerir.

İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.