Lazarus Grubu, şu anda gönderen Kuzey Koreli bilgisayar korsanlarıdır. Istenmemiş ve Apple'ın macOS işletim sistemini hedefleyen sahte kripto işleri. Hacker grubu, saldırıyı gerçekleştiren kötü amaçlı yazılım dağıttı.
Kampanyanın bu son çeşidi siber güvenlik şirketi SentinelOne tarafından inceleniyor.
Siber güvenlik şirketi, hacker grubunun, Crypto.com adlı Singapur merkezli kripto para borsası platformu için reklam pozisyonları için sahte belgeler kullandığını öğrendi ve hack'leri buna göre yürütüyor.
Bilgisayar korsanlığı kampanyasının en son çeşidi “(ter)ception Operasyonu” olarak adlandırıldı. Bildirildiğine göre, kimlik avı kampanyası açık ara yalnızca Mac kullanıcılarını hedefliyor.
Saldırılar için kullanılan kötü amaçlı yazılımın, sahte Coinbase iş ilanlarında kullanılanlarla aynı olduğu bulundu.
Geçen ay araştırmacılar, Lazarus'un yalnızca macOS kullanıcılarını kötü amaçlı yazılım indirmeleri için kandırmak için sahte Coinbase iş ilanlarını kullandığını gözlemledi ve öğrendi.
Grup Crypto.com Platformunda Hack'leri Nasıl Gerçekleştirdi?
Bu, düzenlenmiş bir hack olarak kabul edildi. Bu bilgisayar korsanları, kötü amaçlı yazılımları popüler kripto borsalarından iş ilanları olarak kamufle etti.
Bu, Singapur'daki Sanat Yönetmeni-Konsept Sanatı (NFT) gibi çeşitli pozisyonlar için reklam açıklarını gösteren iyi tasarlanmış ve meşru görünen PDF belgeleri kullanılarak gerçekleştirilir.
SentinelOne'dan bir rapora göre, bu yeni kripto işi cazibesi, diğer kurbanları Lazarus'un LinkedIn mesajlaşmasında onlarla iletişim kurarak hedeflemeyi içeriyordu.
Hacker kampanyasıyla ilgili ek ayrıntılar sağlayan SentinelOne, şunları söyledi:
Bu aşamada kötü amaçlı yazılımın nasıl dağıtıldığı net olmasa da, daha önceki raporlar, tehdit aktörlerinin LinkedIn'de hedefli mesajlaşma yoluyla kurbanları cezbettiğini öne sürüyordu.
Bu iki sahte iş ilanı, Operasyon In(ter)ception olarak adlandırılan ve daha sonra Dream Job Operasyonu adı verilen daha geniş hack operasyonunun kapsamına giren daha geniş bir kampanyanın parçası olan bir dizi saldırının en sonuncusu.
İlgili Okuma: STEPN, Kâr Amacı Gütmeyen Kuruluşlar İçin Kripto Bağışlarını Etkinleştiren Blok Veren Ortaklar
Kötü Amaçlı Yazılımın Nasıl Dağıtıldığına İlişkin Daha Az Netlik
Bunu inceleyen güvenlik şirketi, kötü amaçlı yazılımın nasıl yayıldığının hala belirsiz olduğunu belirtti.
Teknikleri göz önünde bulunduran SentinelOne, ilk aşamadaki damlalığın, Coinbase varyantında kullanılan şablon ikili ile aynı olan bir Mach-O ikili dosyası olduğunu söyledi.
İlk aşama, kullanıcının kitaplığında kalıcılık aracısı bırakan yeni bir klasör oluşturmaktan oluşur.
İkinci aşamanın birincil amacı, C2 sunucusundan bir indirici görevi gören üçüncü aşama ikili dosyasını çıkarmak ve yürütmektir.
tavsiye okundu,
Tehdit aktörleri, muhtemelen kısa vadeli kampanyaları ve/veya hedefleri tarafından çok az tespit edilme korkusunu gösteren ikili dosyaları şifrelemek veya karartmak için hiçbir çaba göstermedi.
SentinelOne ayrıca Operation In(ter)ception'ın hedefleri kripto değişim platformlarının kullanıcılarından çalışanlarına kadar genişlettiğini belirtti, çünkü "hem casusluk hem de kripto para hırsızlığı yapmak için birleşik bir çaba olabilir" gibi görünüyor.
Kaynak: https://bitcoinist.com/lazarus-hacker-group-targets-macos-crypto-jobs/