Kuzey Koreli Lazarus Grubu'ndan olduğundan şüphelenilen bilgisayar korsanları, çeşitli blok zincirleri arasında varlıkların merkezi olmayan bir şekilde aktarılmasını sağlayan zincirli bir protokol olan Debridge Finance'den kripto para çalma şansını denedi.
Tehdit oyuncusu, şirket çalışanlarını Windows sistemlerinden çeşitli bilgiler toplayan ve saldırının sonraki aşamaları için ek kötü amaçlı kodun sunulmasına izin veren kötü amaçlı yazılımlar başlatmaya yönelik bir kimlik avı e -postası kullandı.
Bilgisayar korsanları, Debridge Finance çalışanlarını Perşembe günü, şirket kurucu ortağı Alex Smirnov'dan maaş değişiklikleri hakkında yeni bilgiler paylaştığı iddia edilen bir e-posta ile hedef aldı.
E -posta birden fazla çalışana ulaştı ve bir parola içeren düz bir metin dosyası olarak poz veren bir Windows kısayol dosyası (.lnk) ile birlikte bir PDF dosyası gibi davranan 'Yeni Maaş Ayarlamaları' adlı bir HTML dosyası ekledi.
Sahte PDF'yi tıklamak, PDF'yi içeren şifre korumalı bir arşiv sağladığını iddia eden bir bulut depolama yeri açtı, böylece parolayı elde etmek için sahte metin dosyasını başlatmaya hedef getirdi.
Twitter'daki bir iş parçacığında, Smirnov, LNK dosyasının komut istemini uzak bir konumdan bir yükü alan aşağıdaki komutla yürüttüğünü açıklar:
Komut dosyası, “PDF şifresi: SARARY2022” ile bir not defteri göstermek ve tehlikeye atılan sistemin ESET, Tencent veya Bitdefender'dan bir güvenlik çözümü ile korunup korunmadığını kontrol etmek için oluşturuldu.
Smirnov, yukarıda belirtilen güvenlik ürünleri için süreçler mevcut değilse, kalıcılığı sağlamak için oluşturulan kötü amaçlı dosyanın başlangıç klasörüne kaydedildiğini söylüyor.
Bu, kötü amaçlı yazılımların kalıcılık elde etmesini ve daha fazla talimat için saldırganın komut ve kontrol sunucusuna talep göndermesini sağladı.
Bu aşamada, tehdit oyuncusu kullanıcı adı, işletim sistemi, CPU, ağ adaptörleri ve çalışma işlemleri gibi enfekte sistem hakkında ayrıntılar topladı.
Smirnov, saldırıda kullanılan kötü amaçlı yazılımın az sayıda antivirüs çözümü tarafından işaretlendiğini söylüyor.
E -posta birden fazla Debridge çalışanına gönderildi, ancak çoğu şüpheli olduğunu bildirdi. Ancak, bunlardan biri yem aldı ve Smirnov'un saldırıyı analiz etmesine izin veren belgeyi indirip açtı.
Lazarus Grubu'ndaki Kuzey Koreli bilgisayar korsanlarıyla bağlantı, tehdit oyuncusuna atfedilen önceki bir saldırıda kullanılan dosya adları ve altyapısındaki örtüşme nedeniyle mümkün oldu.
Temmuz ayında, PWC İngiltere ve Malwarebebytes güvenlik araştırmacıları, aynı dosya adlarını veya benzeri olanları kullanan Lazarus Hacker Group'tan - Cryptocore ve Cryptomimic olarak da adlandırılan başka bir kampanya bildirdiler.
BleepingComputer, aynı kampanyanın kripto para firmalarını daha önce hedefleyen Mart ayında, bilgisayar korsanlarının Coinbase kripto para değişim platformundan bir iş teklifi gibi davranan bir belge ile kripto ticaret platformu WOO ağını hedef aldığı zaman öğrendi.
Dosya adları farklı olsa da, saldırgan aynı sahte PDF hile maskesini kötü amaçlı dosyayı kullandı ve kurbanın yürütmesini sağlamak için.
Debridge ve Woo Network'teki her iki saldırıda, bilgisayar korsanları Windows sistemleri için kötü amaçlı yazılım kullandı. Bir macOS sistemi tespit edilirse, kurban gerçek bir PDF dosyasına sahip bir zip arşivi alacaktır.
Kuzey Kore'nin Lazarus Grubu, blockchain teknolojisi ve ayrılıkçılık kavramları konusundaki işlerine güvenen şirketlere vurmaya odaklanıyor.
Tehdit oyuncusu, kurban bilgisayarında bir dayanak kurmak için sosyal mühendislik hilelerini kullanır ve daha sonra kripto para birimi fonlarını ve varlıklarını sifonlamanın bir yolunu bulmaya çalışır.
Bu gruba atfedilen en büyük kripto para birimi soygunlarından biri, Axie Infinity'nin Ronin Network Köprüsü'nden Ethereum'da 620 milyon dolarlık hırsızlık.
ABD Yaptırımları Kripto Mikser Tornado Nakit Kuzey Koreli hackerlar tarafından kullanılan
Kuzey Koreli bilgisayar korsanları sahte coinbase iş teklifleri ile kripto uzmanlarını hedef
ABD'de kapanacak para kontrolleri - para çekmek için 5 gün kaldı
Bilgisayar korsanları sahte iş görüşmeleri aracılığıyla Axie Infinity'den 620 milyon dolar çaldı
Maui Fidye Yazılımı Operasyonu Kuzey Koreli 'Andariel' Hackers ile bağlantılı
Kaynak: Bleeping Computer