Kuzey Koreli Lazarus hack grubu, muhtemelen uzun vadeli dijital varlıkları ve kripto para birimini çalma hedefiyle kripto alanındaki geliştiricileri ve sanatçıları hacklemek için sahte ‘Crypto.com’ iş tekliflerini kullanıyor.
Crypto.com, dünyanın önde gelen kripto para birimi değişim platformlarından biridir. Şirket, 2021’de Los Angeles Staples Center arenasını satın alıp ‘Crypto.com Arena’ olarak yeniden markalaştırdığında ve hizmeti tanıtan bir dizi TV reklamı başlattığında dikkat çekti.
Lazarus hack grubu, 2020’den beri kripto para endüstrisinde çalışan insanları hedef aldıkları ‘Operation In(ter)ception’ adlı bir kampanya yürütüyor.
Tehdit aktörlerinin amacı, büyük miktarda kripto para birimi, NFT çalmak veya casusluk yapmak için kripto şirketlerinin iç ağlarını ihlal etmek için kullanılabilecek kötü amaçlı yazılımlarla sistemlere bulaşan kötü amaçlı dosyaları açmaları için hedefleri kandırmaktır.
Ağustos 2022’de Lazarus, Coinbase’in kimliğine bürünen ve kullanıcıları hedef alan kötü niyetli iş teklifleriyle BT çalışanlarını hedef alırken görüldü. Windows kötü amaçlı yazılım veya macOS kötü amaçlı yazılımı.
Sentinel One tarafından yayınlanan yeni bir raporda, bilgisayar korsanları, önceki kampanyalarda görülen aynı macOS kötü amaçlı yazılımını kullanarak kimlik avı saldırılarında Crypto.com’u taklit etmeye geçtiler.
En son kampanya ayrıntıları
Lazarus tipik olarak hedeflerine LinkedIn aracılığıyla yaklaşır ve onlara büyük bir şirkette kazançlı bir iş açılması konusunda onları bilgilendirmek için doğrudan bir mesaj gönderir.
Önceki macOS kampanyalarında olduğu gibi, bilgisayar korsanları, Crypto.com’da iddia edilen açık pozisyonları içeren ‘Crypto.com_Job_Opportunities_2022_confidential.pdf’ adlı 26 sayfalık bir PDF dosyasını içeren bir PDF olarak poz veren bir macOS ikili dosyası gönderdi.
Arka planda, Mach-O ikili programı kullanıcının Kitaplık dizininde bir klasör (“WifiPreference”) oluşturur ve ikinci ve üçüncü aşama dosyalarını bırakır.
İkinci aşama, bir kalıcılık aracısı (“wifianalyticsagent”) yükleyen ve sonunda “market.contradecapital” adresindeki C2 sunucusuna bağlanan “WifiAnalyticsServ.app” dir.[.]com” adresine gidin ve “WiFiCloudWidget” adlı son yükü getirin.
Güvenlik araştırmacıları, araştırma sırasında C2’nin çevrimdışı olması nedeniyle analiz için son yükü alamadı.
Ancak, ‘Operasyon İç (ter) ception’ kampanyaları için tipik olan kısa ömürlü bir operasyona işaret eden özellikleri fark ettiler.
“Tehdit aktörleri, muhtemelen kısa vadeli kampanyaları ve/veya hedefleri tarafından çok az tespit edilme korkusunu gösteren ikili dosyaları şifrelemek veya karartmak için hiçbir çaba göstermedi.” Sentinel One’ı açıklar onların raporunda.
İkili dosyalar geçici bir imzayla imzalanmıştır, böylece Apple Gatekeeper denetimlerini geçebilir ve güvenilir yazılım olarak yürütülebilirler
.jpg)
Büyük olasılıkla, Lazarus yakında başka bir şirketin kimliğine bürünürken, saldırı öğelerinin geri kalanını büyük ölçüde değiştirmeden tutacak.
Bir kripto firmasında çalışıyorsanız, LinkedIn’deki istenmeyen iş tekliflerine karşı dikkatli olun, çünkü işvereniniz için bir truva atı gibi davranmak için bir anlık merak yeterlidir.
Kripto firmaları Lazarus için popüler bir hedef
Kripto para firmaları, 600 milyon doların üzerinde kripto para hırsızlığından sorumlu olduğuna inanılan Lazarus Kuzey Kore devlet destekli hack grubu için popüler bir hedef.
Lazarus ilk önce kripto para kullanıcılarını yayarak hedefledi Truva atlı kripto para cüzdanları ve ticaret uygulamaları insanların özel anahtarlarını çalan ve varlıklarını boşaltan.
Nisan ayında ABD Hazinesi ve FBI Lazarus grubunu bağladı bir siber saldırıya 617 milyon dolardan fazla çaldı Blockchain tabanlı oyun Axie Infinity’den Ethereum ve USDC jetonları.
Daha sonra, Axie Infinity hack’inin aşağıdakiler sayesinde mümkün olduğu ortaya çıktı. bağcıklı bir PDF dosyası Bu, blockchain mühendislerinden birine gönderilen kazançlı bir iş teklifini içeriyordu.