Kuzey Kore hükümetiyle bağlantılı bilgisayar korsanları, kripto para birimi kullanıcılarının ve yatırımcılarının sistemlerine erişmek için kripto para varlıklarını depolamak için DeFi Cüzdan’ın truva atına dönüştürülmüş bir sürümünü dağıtıyor.
Tehdit aktörü, kötü amaçlı yazılımı zorlamak ve kurulu implantlarla iletişim kurmak için Güney Kore’de bulunan web sunucularına yapılan bu saldırıya güvendi.
Tamamen işlevsel arka kapı
Siber güvenlik şirketi Kaspersky’deki araştırmacılar, yakın zamanda, yasal uygulamayı ve Google Chrome web tarayıcısı için yürütülebilir dosya olarak gizlenmiş bir arka kapıyı yükleyen DeFi Cüzdan uygulamasının kötü amaçlı bir türevini keşfettiler.
Truva atlı DeFi uygulaması, Kasım 2021’den itibaren bir derleme tarihiyle geldi ve sistemde yürütüldüğünde tam özellikli bir arka kapı ekledi.
Bilgisayar korsanlarının hangi dağıtım yöntemini kullandığı belli değil, ancak kimlik avı e-postaları veya sosyal medya üzerinden kurbanlarla iletişim kurmak makul senaryolar.
Araştırmacılara göre, bu şekilde yerleştirilen kötü amaçlı yazılım, Windows komutlarını yürüterek, dosyaları silerek, işlemleri başlatarak veya sonlandırarak, dosyaları ilişkili meta verilerle birlikte numaralandırarak veya bilgisayarı belirli bir IP adresine bağlayarak kurban ana bilgisayarı “kontrol etmek için yeterli yeteneklere” sahip.
Ek işlevler, kötü amaçlı yazılım operatörünün sistem (IP, ad, işletim sistemi, CPU mimarisi) ve sürücüler (tür, kullanılabilir boş alan) hakkında bilgi toplamasına, komut ve kontrol sunucusundan (C2) dosya indirmesine ve bunların bir listesini almasına olanak tanır. belirli bir konumda depolanan dosyalar.
DPRK bağlantıları
Kaspersky araştırmacıları, bu kampanyada kullanılan bazı alanların kaldırılması için Güney Kore CERT (Bilgisayar Acil Durum Müdahale Ekibi) ile birlikte çalıştı ve C2 komut dosyalarını analiz edip karşılaştırabildi.
Bulgular, genel olarak Lazarus grubu olarak adlandırılan Kuzey Kore ile bağlantılı saldırganların diğer operasyonlarıyla örtüştüğünü ortaya koydu.
“CookieTime’da benzer kötü amaçlı yazılımları belirlediğimizden, Lazarus grubunun bu kötü amaçlı yazılımla bağlantılı olduğuna büyük bir güvenle inanıyoruz. [malware] küme,” Kaspersky
CookieTime kötü amaçlı yazılım kümesi olarak da bilinir LCPDot Japan CERT tarafından kurulmuştur ve önde gelen şirketlerden sahte iş teklifleriyle kurbanları çeken DPRK operasyonu Dream Job ile bağlantılıdır.
Dream Job ile ilgili son etkinlikler, bu ayın başlarında Google’ın Tehdit Analizi Grubu (TAG) tarafından ifşa edildi. Kuzey Koreli tehdit aktörleri sıfır gün için bir istismar kullanmıştıChrome’da haber medyası, BT şirketleri, kripto para birimi ve fintech kuruluşları için çalışan kişileri hedeflemek için uzaktan kod yürütme hatası.
Ayrıca Kaspersky, “CookieTime kümesinin el yazması ve Tehditİğne Lazarus grubuna da atfedilen kümeler.”
Mevcut truva atlı DeFiWallet uygulaması ile Kuzey Koreli bilgisayar korsanlarına atfedilen diğer kötü amaçlı yazılımlar arasındaki bağlantılar, yalnızca kötü amaçlı yazılım koduna değil, aynı zamanda birçok işlevi ve değişken adını paylaşan C2 komut dosyalarına da uzanıyor.
Kuzey Kore tehdit grupları
Lazarus’un devlet destekli Kuzey Koreli aktörlerden gelen tüm tehdit faaliyetleri için kullanılan genel bir terim olduğunu belirtmekte fayda var. Ancak, DPRK içinde her biri ülkenin istihbarat aygıtının farklı kurumları/bölümleri altında çalışan birden fazla tehdit grubu var.
Tüm ülke için siber aktivite takibi, OSINT izleme, defektör raporlama ve görüntü analizinden 16 ay boyunca toplanan verileri kullanarak, Mandiant araştırmacılar, DPRK’nın siber programları için yapısının bir değerlendirmesini oluşturdu.
Haritalarına göre, kripto para soygunlarını hedeflemek, muhtemelen ülkenin Genel Keşif Bürosu’nun (RGB) 3.
Kaspersky, yakın zamanda keşfedilen etkinliğin şuna benzer olduğunu belirtiyor: MetaMask DeFi cüzdanından ödün verilmesidedikleri başka bir Kuzey Koreli hacker grubuna atfedildi maviNoroff.
Araştırmacılar, arka kapıya ve bunun truva atlı DeFi uygulamasından nasıl ortaya çıktığına ilişkin teknik ayrıntıları yayınladı ve kötü amaçlı yazılım ve saldırı için kullanılan güvenliği ihlal edilmiş meşru birinci aşama C2 sunucuları için güvenlik açığı göstergelerini paylaştı.