Kuzey Koreli Lazarus grubundan olduğundan şüphelenilen bilgisayar korsanları, çeşitli blok zincirleri arasında varlıkların merkezi olmayan transferini sağlayan zincirler arası bir protokol olan deBridge Finance’ten kripto para çalmak için şanslarını denediler.
Tehdit aktörü, şirket çalışanlarını Windows sistemlerinden çeşitli bilgiler toplayan ve saldırının sonraki aşamaları için ek kötü amaçlı kod teslimine izin veren kötü amaçlı yazılımları başlatmaları için kandırmak için bir kimlik avı e-postası kullandı.
Sahte PDF ve metin dosyaları
Bilgisayar korsanları Perşembe günü deBridge Finance çalışanlarını şirketin kurucu ortağı Alex Smirnov’dan geldiği iddia edilen bir e-postayla hedef aldı ve iddiaya göre maaş değişiklikleri hakkında yeni bilgiler paylaştı.
kaynak: Alex Smirnov
E-posta birden fazla çalışana ulaştı ve bir PDF dosyası gibi görünen ‘Yeni Maaş Ayarlamaları’ adlı bir HTML dosyasıyla birlikte bir parola içeren düz metin dosyası gibi görünen bir Windows kısayol dosyası (.LNK) içeriyordu.
kaynak: Alex Smirnov
Sahte PDF’ye tıklamak, PDF’yi içeren parola korumalı bir arşiv sağladığını iddia eden bir bulut depolama konumu açtı ve böylece hedef, parolayı almak için sahte metin dosyasını başlatmaya getirdi.
Twitter’daki bir ileti dizisinde Smirnov, LNK dosyasının Komut İstemini uzak bir konumdan bir yük alan aşağıdaki komutla yürüttüğünü açıklıyor:
Komut dosyası, “pdf şifresi: maaş2022” ile bir Not Defteri göstermek ve güvenliği ihlal edilen sistemin ESET, Tencent veya Bitdefender’dan bir güvenlik çözümü tarafından korunup korunmadığını kontrol etmek için oluşturuldu.
Smirnov, yukarıda bahsedilen güvenlik ürünleri için işlemler mevcut değilse, kalıcılığı sağlamak için oluşturulan kötü amaçlı dosyanın başlangıç klasörüne kaydedildiğini söylüyor.
Bu, kötü amaçlı yazılımın kalıcılık sağlamasına ve daha fazla talimat için saldırganın komuta ve kontrol sunucusuna istek göndermesine izin verdi.
Bu aşamada tehdit aktörü, kullanıcı adı, işletim sistemi, CPU, ağ bağdaştırıcıları ve çalışan işlemler gibi virüslü sistemle ilgili ayrıntıları topladı.
Smirnov, saldırıda kullanılan kötü amaçlı yazılımın az sayıda antivirüs çözümü tarafından işaretlendiğini söylüyor.
E-posta birden fazla deBridge çalışanına gönderildi, ancak çoğu bunu şüpheli olarak bildirdi. Ancak onlardan biri yemi aldı ve Smirnov’un saldırıyı analiz etmesine izin veren belgeyi indirdi ve açtı.
Kuzey Koreli Lazarus bilgisayar korsanlarına bağlı
Lazarus grubundaki Kuzey Koreli bilgisayar korsanlarıyla bağlantı, tehdit aktörüne atfedilen önceki bir saldırıda kullanılan dosya adları ve altyapıdaki çakışma nedeniyle mümkün oldu.
Temmuz ayında, PwC UK ve Malwarebytes’ten güvenlik araştırmacıları, Lazarus hacker grubundan başka bir kampanya bildirdi – aynı zamanda Kripto Çekirdek ve CryptoMimic – aynı dosya adlarını veya benzerlerini kullanan.
BleepingComputer, aynı kampanyanın, Mart ayında, bilgisayar korsanlarının kripto ticaret platformu Woo Network’ü hedeflediği bir belge ile kripto para birimi firmalarını hedef aldığını öğrendi. Coinbase’den iş teklifi kripto para borsası platformu.
Dosya adları farklı olsa da, saldırgan kötü amaçlı dosyayı maskelemek ve kurbanın dosyayı çalıştırmasını sağlamak için aynı sahte PDF hilesini kullandı.
Bilgisayar korsanları, deBridge ve Woo Network’e yapılan her iki saldırıda da Windows sistemleri için kötü amaçlı yazılım kullandı. Bir macOS sistemi algılanırsa, kurban gerçek bir PDF dosyası içeren bir ZIP arşivi alırdı.
kaynak: BleepingComputer
Kuzey Kore’nin Lazarus grubu, işlerine blok zincir teknolojisi ve ademi merkeziyet kavramlarına güvenen şirketleri vurmaya odaklanıyor.
Tehdit aktörü, kurban bilgisayarında bir dayanak oluşturmak için sosyal mühendislik hilelerini kullanır ve ardından kripto para birimi fonlarını ve varlıklarını sifon etmenin bir yolunu bulmaya çalışır.
Bu gruba atfedilen en büyük kripto para soygunlarından biri, 620 milyon dolarlık hırsızlık Axie Infinity’nin Ronin ağ köprüsünden Ethereum’da.