Kötü şöhretli Kuzey Koreli Lazarus hack grubu tarafından, bilgisayar korsanlarının fintech endüstrisindeki çalışanları hedef almak için Coinbase’i taklit ettiği yeni bir sosyal mühendislik kampanyası keşfedildi.
Hacking grubunun kullandığı yaygın bir taktik, bir sosyal mühendislik saldırısının parçası olarak bir iş teklifi sunmak ve bir ön tartışma yapmak için LinkedIn üzerinden hedeflere yaklaşmaktır.
Göre Hüseyin JaziŞubat 2022’den beri Lazarus etkinliğini yakından takip eden Malwarebytes’te bir güvenlik araştırmacısı olan tehdit aktörleri artık Coinbase’denmiş gibi davranarak “Mühendislik Müdürü, Ürün Güvenliği” rolüne uygun adayları hedefliyor.
Coinbase, dünyanın en büyük kripto para borsası platformlarından biridir ve Lazarus’un prestijli bir organizasyonda kazançlı ve cazip bir iş teklifi için zemin hazırlamasını sağlar.
Mağdurlar iş pozisyonuyla ilgili bir PDF olduğuna inandıkları şeyi indirdiklerinde, aslında bir PDF simgesi kullanarak kötü amaçlı bir yürütülebilir dosya alıyorlar. Bu durumda, dosyanın adı “Coinbase_online_careers_2022_07.exe”dir ve bu dosya, yürütüldüğünde kötü amaçlı bir DLL yüklenirken aşağıda gösterilen sahte PDF belgesini görüntüler.
Çalıştırıldığında, kötü amaçlı yazılım, virüslü cihazda gerçekleştirilecek komutları almak için GitHub’ı bir komut ve kontrol sunucusu olarak kullanır.
Bu saldırı zinciri, Malwarebytes tarafından şurada belgelenene benzer: bir blog yazısı yılın başında.
Jazi, Bleeping Computer’a, Lazarus’un hedeflerine kötü amaçlı yazılım bulaştırmak için benzer taktikler ve yöntemler izlediğini ve bireysel kimlik avı kampanyalarının altyapı çakışmalarına sahip olduğunu söyledi.
Geçmişte Lazarus tarafından sahte iş teklifleri kullanılarak yürütülen diğer kampanyalar, Genel Dinamikler ve Lockheed Martin.
Lazarus bilgisayar korsanları kriptoyu hedef alıyor
Devlet destekli Kuzey Koreli hack gruplarının bankalara, kripto para borsalarına, NFT pazarlarına ve önemli holdinglere sahip bireysel yatırımcılara karşı finansal olarak motive edilmiş saldırılar başlatmasıyla biliniyor.
Yılın başlarında, ABD istihbarat servisleri Lazarus’un yayılması konusunda uyardı Truva atlı kripto para cüzdanları ve insanların özel anahtarlarını çalan ve varlıklarını sifonlayan yatırım uygulamaları.
Nisan ayında ABD Hazinesi ve FBI bağlantılı çalıntı kripto para birimi blok zinciri tabanlı oyun Axie Infinity’den Lazarus’a, onları sorumlu tutan 617 milyon doların üzerinde hırsızlık Ethereum ve USDC belirteçleri değerinde.
Daha sonra açıklandığı gibi, Temmuz ayında, Axie Infinity hack’i sayesinde mümkün oldu. bağcıklı bir PDF dosyası sözde bu, blockchain mühendislerinden birine gönderilen kazançlı bir iş teklifinin ayrıntılarını içeriyordu.
Dosyayı açmak mühendisin bilgisayarına bulaştı, Lazarus’un ayrıcalıklarını yükseltmesine ve firma ağında yanlamasına hareket etmesine olanak sağladı, sonunda Ronin Köprüsü’nde bir güvenlik açığı buldu ve bir istismarı tetikledi.
Aynı tür saldırı, Lazarus’un Coinbase’in cezbettiği en son kampanyada başarmayı umduğu şeydir, çünkü PDF’yi açmak ve bilgisayar korsanlarının şirket ağına ilk erişimini sağlamak için bir şirkette yalnızca tek bir kişi gerekir.