Lazarus grubunun bir kısmı karmaşık altyapı, istismarlar ve kötü amaçlı yazılım implantları geliştirdi. Tehdit Aktörü BlueNoroff, Cryptocurrency Başlangıç Hesaplarını Boşaltır. BlueNoroff, kapsamlı saldırı metodolojisi kullanır.
Kaspersky güvenlik araştırmacıları, Gelişmiş Kalıcı Tehdit (APT) aktörü BlueNoroff'un dünya çapındaki küçük ve orta ölçekli işletmelere yönelik bir dizi saldırısını ortaya çıkardı. Kurbanlar bu süreçte büyük kripto para birimi kayıpları yaşadı. 'SnatchCrypto' olarak adlandırılan kampanya, akıllı sözleşmeler, DeFi, blockchain ve FinTech endüstrisinin yanı sıra kripto para birimleri ile ilgili çeşitli şirketleri hedefliyor.
Tehdit aktörü BlueNoroff'un son kampanyasında saldırganlar, bir "sözleşme" veya başka bir iş dosyası kisvesi altında, çalışanların hedef şirketlere olan güvenini, onlara izleme yetenekleri olan tam teşekküllü bir Windows arka kapısı göndererek kurnazca suistimal ettiler. Oyuncu, bir kurbanın kripto cüzdanını boşaltmak için karmaşık altyapı, açıklardan yararlanma ve kötü amaçlı yazılım yerleştirmeleri dahil olmak üzere kapsamlı ve kötü amaçlı kaynaklar geliştirdi.
BlueNoroff ve Lazarus
BlueNoroff, Lazarus Group'un bir parçasıdır ve çok yönlü yapısından ve gelişmiş saldırı teknolojilerinden yararlanır. Bu APT grubu, SWIFT'e bağlı bankalara ve sunuculara saldırmasıyla tanınır ve hatta kripto para birimi yazılımı geliştirmek için paravan şirketlerin oluşturulmasına katıldı [2]. Aldatılan müşteriler daha sonra meşru görünen uygulamalar yüklediler ve bir süre sonra arka kapı da dahil olmak üzere güncellemeler aldılar.
APT grubunun bu şubesi, o zamandan beri kripto para birimi girişimlerine saldırmak için harekete geçti. Kripto para şirketlerinin çoğu küçük veya orta ölçekli girişimler olduğundan, iç güvenlik sistemlerine çok fazla para yatıramazlar. Lazarus bunu fark etti ve bunu sofistike toplum mühendisliği yöntemleriyle kullanıyor.
BlueNoroff bir risk sermayesi şirketi gibi davranıyor
BlueNoroff, kurbanın güvenini kazanmak için bir risk sermayesi şirketi gibi davranır. Kaspersky araştırmacıları, SnatchCrypto kampanyası sırasında marka adları ve çalışan adlarının kötüye kullanıldığı 15'in üzerinde girişim sermayesi şirketi keşfetti. Güvenlik uzmanlarına göre gerçek şirketlerin bu saldırıyla veya e-postalarla hiçbir ilgisi yok. Yeni başlayanların kripto alanı, siber suçlular tarafından belirli bir nedenle seçildi: yeni başlayanlar genellikle bilinmeyen kaynaklardan mektuplar veya dosyalar alıyor. Bu nedenle, bir girişim şirketinin size bir sözleşme veya işle ilgili başka dosyalar göndermesi oldukça olasıdır. Lazarus APT aktörü, kurbanları e-postadaki eki - makro özellikli bir belgeyi - açmaları için kandırmak için bunu bir tuzak olarak kullanıyor.
Böyle bir belge çevrimdışı açılırsa bu dosyalar bir tehdit oluşturmaz, ancak dosya açıldığı sırada bir bilgisayar internete bağlıysa kurbanın cihazına başka bir makro özellikli belge indirilir ve kötü amaçlı yazılım yüklenir.
BlueNoroff, kapsamlı saldırı metodolojisi kullanır
BlueNoroff APT grubunun uzlaşma cephaneliğinde çeşitli yöntemleri vardır ve duruma bağlı olarak enfeksiyon zincirini buna göre tasarlar. Oyuncu, kötü amaçlı Word belgelerinin yanı sıra, sıkıştırılmış Windows kısayol dosyaları kılığında kötü amaçlı yazılımları da dağıtır. Bu, kurbanın bilgilerini ve Powershell aracısını geri göndererek bir arka kapı oluşturur. Bunlar aracılığıyla BlueNoroff, kurbanı izlemek için diğer kötü amaçlı araçları kullanır: bir keylogger ve bir ekran görüntüsü aracı.
Saldırganlar daha sonra kurbanlarını haftalarca ve aylarca takip eder. Mali hırsızlık için bir strateji planlarken tuş vuruşlarını toplar ve kullanıcının günlük işlemlerini izlerler. Kripto cüzdanlarını yönetmek için popüler bir tarayıcı uzantısı (Metamask uzantıları gibi) kullanan belirgin bir hedef bulduklarında, ana bileşenini sahte bir sürümle değiştirirler.
İşlem süreci durdurulur ve değiştirilir
Kaspersky uzmanlarına göre saldırganlar, büyük bir aktarım algılanır algılanmaz bir bildirim alıyor. Güvenliği ihlal edilmiş kullanıcı başka bir hesaba bir miktar aktarmaya çalıştığında, işlem sürecini durdurur ve kendi mantığını ekler. Başlatılan ödemeyi tamamlamak için kullanıcı "Onayla" düğmesini tıklar. O anda siber suçlular alıcının adresini değiştirerek işlem tutarını maksimuma çıkarıyor; hesap bir çırpıda boşalır.
Kaspersky'nin Küresel Araştırma ve Analiz Ekibi'nde (GReAT) kıdemli güvenlik araştırmacısı olan Seongsu Park, "Saldırganlar dijital uzlaşmanın yeni yollarını bulmaya devam ederken, küçük işletmeler bile çalışanlarını temel siber güvenlik uygulamaları konusunda eğitmelidir" dedi. “Özellikle şirketler kripto para birimleri kullanırken, bunların APT aktörleri ve siber suçlular için çekici bir hedef olduğunu not etmek önemlidir. Bu nedenle bu alan özellikle korumaya değerdir.”
Kaspersky.com'da daha fazlası
Kaspersky Hakkında Kaspersky, 1997 yılında kurulmuş uluslararası bir siber güvenlik şirketidir. Kaspersky'nin derin tehdit istihbaratı ve güvenlik uzmanlığı, dünya çapında işletmeleri, kritik altyapıları, hükümetleri ve tüketicileri korumaya yönelik yenilikçi güvenlik çözümlerinin ve hizmetlerinin temelini oluşturur. Şirketin kapsamlı güvenlik portföyü, karmaşık ve gelişen siber tehditlere karşı savunma için lider uç nokta koruması ve bir dizi özel güvenlik çözümü ve hizmeti içerir. 400 milyondan fazla kullanıcı ve 250.000 kurumsal müşteri, Kaspersky teknolojileri tarafından korunmaktadır. www.kaspersky.com/ adresinde Kaspersky hakkında daha fazla bilgi