Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın

Güncel Floodlar En sonuncu Nesne

Lazarus bilgisayar korsanları tarafından hedeflenen deBridge Finance kripto platformu


DPRK'nın Lazarus bilgisayar korsanları deBridge kripto platformunu hedef alıyor

Kuzey Koreli Lazarus grubundan olduğundan şüphelenilen bilgisayar korsanları, çeşitli blok zincirleri arasında varlıkların merkezi olmayan transferini sağlayan zincirler arası bir protokol olan deBridge Finance’ten kripto para çalmak için şanslarını denediler.

Tehdit aktörü, şirket çalışanlarını Windows sistemlerinden çeşitli bilgiler toplayan ve saldırının sonraki aşamaları için ek kötü amaçlı kod teslimine izin veren kötü amaçlı yazılımları başlatmaları için kandırmak için bir kimlik avı e-postası kullandı.

Sahte PDF ve metin dosyaları

Bilgisayar korsanları Perşembe günü deBridge Finance çalışanlarını şirketin kurucu ortağı Alex Smirnov’dan geldiği iddia edilen bir e-postayla hedef aldı ve iddiaya göre maaş değişiklikleri hakkında yeni bilgiler paylaştı.

deBridge çalışanlarını hedefleyen kimlik avı e-postası
deBridge çalışanlarını hedefleyen e-posta hedefleme
kaynak: Alex Smirnov

E-posta birden fazla çalışana ulaştı ve bir PDF dosyası gibi görünen ‘Yeni Maaş Ayarlamaları’ adlı bir HTML dosyasıyla birlikte bir parola içeren düz metin dosyası gibi görünen bir Windows kısayol dosyası (.LNK) içeriyordu.

deBridge çalışanlarını hedeflemek için kullanılan sahte PDF ve metin dosyaları
deBridge çalışanlarını hedeflemek için kullanılan sahte PDF ve metin dosyaları
kaynak: Alex Smirnov

Sahte PDF’ye tıklamak, PDF’yi içeren parola korumalı bir arşiv sağladığını iddia eden bir bulut depolama konumu açtı ve böylece hedef, parolayı almak için sahte metin dosyasını başlatmaya getirdi.

Twitter’daki bir ileti dizisinde Smirnov, LNK dosyasının Komut İstemini uzak bir konumdan bir yük alan aşağıdaki komutla yürüttüğünü açıklıyor:

Komut dosyası, “pdf şifresi: maaş2022” ile bir Not Defteri göstermek ve güvenliği ihlal edilen sistemin ESET, Tencent veya Bitdefender’dan bir güvenlik çözümü tarafından korunup korunmadığını kontrol etmek için oluşturuldu.

Smirnov, yukarıda bahsedilen güvenlik ürünleri için işlemler mevcut değilse, kalıcılığı sağlamak için oluşturulan kötü amaçlı dosyanın başlangıç ​​​​klasörüne kaydedildiğini söylüyor.

Bu, kötü amaçlı yazılımın kalıcılık sağlamasına ve daha fazla talimat için saldırganın komuta ve kontrol sunucusuna istek göndermesine izin verdi.

Bu aşamada tehdit aktörü, kullanıcı adı, işletim sistemi, CPU, ağ bağdaştırıcıları ve çalışan işlemler gibi virüslü sistemle ilgili ayrıntıları topladı.

Smirnov, saldırıda kullanılan kötü amaçlı yazılımın az sayıda antivirüs çözümü tarafından işaretlendiğini söylüyor.

E-posta birden fazla deBridge çalışanına gönderildi, ancak çoğu bunu şüpheli olarak bildirdi. Ancak onlardan biri yemi aldı ve Smirnov’un saldırıyı analiz etmesine izin veren belgeyi indirdi ve açtı.

Kuzey Koreli Lazarus bilgisayar korsanlarına bağlı

Lazarus grubundaki Kuzey Koreli bilgisayar korsanlarıyla bağlantı, tehdit aktörüne atfedilen önceki bir saldırıda kullanılan dosya adları ve altyapıdaki çakışma nedeniyle mümkün oldu.

Temmuz ayında, PwC UK ve Malwarebytes’ten güvenlik araştırmacıları, Lazarus hacker grubundan başka bir kampanya bildirdi – aynı zamanda Kripto Çekirdek ve CryptoMimic – aynı dosya adlarını veya benzerlerini kullanan.

Lazarus bilgisayar korsanları deBridge Finance'e yapılan saldırıyla bağlantılı
Malwarebytes ve PwC araştırmacıları benzer Lazarus kampanyalarını bildirdi

BleepingComputer, aynı kampanyanın, Mart ayında, bilgisayar korsanlarının kripto ticaret platformu Woo Network’ü hedeflediği bir belge ile kripto para birimi firmalarını hedef aldığını öğrendi. Coinbase’den iş teklifi kripto para borsası platformu.

Dosya adları farklı olsa da, saldırgan kötü amaçlı dosyayı maskelemek ve kurbanın dosyayı çalıştırmasını sağlamak için aynı sahte PDF hilesini kullandı.

Bilgisayar korsanları, deBridge ve Woo Network’e yapılan her iki saldırıda da Windows sistemleri için kötü amaçlı yazılım kullandı. Bir macOS sistemi algılanırsa, kurban gerçek bir PDF dosyası içeren bir ZIP arşivi alırdı.

lazarus, Windows olmayan kullanıcılara gerçek PDF sunuyor
Windows olmayan makinelere teslim edilen gerçek PDF
kaynak: BleepingComputer

Kuzey Kore’nin Lazarus grubu, işlerine blok zincir teknolojisi ve ademi merkeziyet kavramlarına güvenen şirketleri vurmaya odaklanıyor.

Tehdit aktörü, kurban bilgisayarında bir dayanak oluşturmak için sosyal mühendislik hilelerini kullanır ve ardından kripto para birimi fonlarını ve varlıklarını sifon etmenin bir yolunu bulmaya çalışır.

Bu gruba atfedilen en büyük kripto para soygunlarından biri, 620 milyon dolarlık hırsızlık Axie Infinity’nin Ronin ağ köprüsünden Ethereum’da.



İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.