Elastic Security Labs, yakın zamanda yapılan bir açıklamada, Lazarus grubuyla ilişkili olduğuna inanılan Kuzey Koreli bilgisayar korsanlarının gerçekleştirdiği karmaşık bir siber saldırıyı ortaya çıkardı.

REF7001 olarak takip edilen bu olay, kripto para birimi değişim platformlarında yer alan blockchain mühendislerini hedef almak için özel olarak tasarlanan Kandykorn adlı yeni bir macOS kötü amaçlı yazılımının kullanımını içeriyordu. Kuzey Koreli Hackerlar Discord Dağıtılan Kötü Amaçlı Yazılımlarla Kripto Mühendislerini Hedef Alıyor

Elastic Security Labs, kötü şöhretli Lazarus Grubuyla bağlantılı olduğuna inanılan Kuzey Koreli bilgisayar korsanlarının gerçekleştirdiği karmaşık siber saldırıyı ortaya çıkardı. Kripto para borsası platformlarında yer alan blockchain mühendislerini hedef alan bu olayda, kripto para arbitraj botu kılığına giren aldatıcı bir Python programı kullanıldı.

Bu saldırıyı diğerlerinden ayıran şey, dağıtım yöntemidir: Saldırganlar, kötü amaçlı yazılımı genel bir Discord sunucusundaki özel bir mesaj aracılığıyla dağıtmıştır; bu, macOS izinsiz giriş taktiklerinin alışılmadık bir örneğidir.

Elastic Security Labs'taki araştırmacılar, "Kurban, platformlar arasındaki kripto para birimi kur farklarından kâr elde edebilecek bir yazılım aracı olan bir arbitraj botu yüklediğine inanıyordu" diye açıkladı.

Kurulumdan sonra Kandykorn kötü amaçlı yazılımı, şifrelenmiş RC4'ü kullanarak ve farklı bir el sıkışma mekanizması uygulayarak bir komuta ve kontrol (C2) sunucusuyla iletişim başlatır. Komutları aktif olarak yoklamak yerine sabırla bekler. Bu gelişmiş yöntem, bilgisayar korsanlarının ele geçirilen sistemler üzerinde gizlice kontrol sahibi olmalarını sağlar. Kandykorn Kötü Amaçlı Yazılım Taktikleri Lazarus Grubuyla Bağlantılarını Ortaya Çıkardı

Elastic Security Labs, Kandykorn'un yeteneklerine ilişkin değerli bilgiler sunarak dosya yükleme ve indirme, süreç manipülasyonu ve rastgele sistem komutlarını yürütme konusundaki uzmanlığını sergiledi. Özellikle endişe verici olan, kötü şöhretli Lazarus Grubuyla ilişkili dosyasız bir yürütme tekniği olan yansıtıcı ikili yüklemenin kullanılmasıdır. Lazarus Grubu, kripto para hırsızlığı ve uluslararası yaptırımlardan kaçınma faaliyetleriyle tanınıyor.

Üstelik bu saldırının Kuzey Kore'deki Lazarus Grubuyla bağlantılı olduğuna dair ikna edici kanıtlar var. Teknikler, ağ altyapısı, kötü amaçlı yazılımları imzalamak için kullanılan sertifikalar ve Lazarus Grubu faaliyetlerini tespit etmek için kullanılan özel yöntemler arasındaki benzerlik, bunların hepsi olaya karıştıklarına işaret ediyor.

Ayrıca zincir içi işlemler Atomic Wallet, Alphapo, CoinsPaid, Stake.com ve CoinEx'teki güvenlik ihlalleri arasındaki bağlantıları ortaya çıkardı. Bu bağlantılar, Lazarus Grubunun bu istismarlara katılımını da kanıtlıyor.

Yakın zamanda yaşanan başka bir olayda Lazarus Grubu, kullanıcıları GitHub'dan bir kripto ticareti uygulaması indirmeye kandırarak macOS çalıştıran Apple bilgisayarlarının güvenliğini ihlal etmeye çalıştı. Şüphelenmeyen kullanıcılar yazılımı yükleyip yönetim erişimi sağladıktan sonra, saldırganlar işletim sistemine arka kapıdan girerek uzaktan erişime olanak sağladı.

Elastic Security Labs, bu ayrıntıları inceleyerek Lazarus Group tarafından kullanılan karmaşık taktiklere ışık tuttu ve bu tür tehditlere karşı korunmak için güçlü siber güvenlik önlemlerinin önemini vurguladı. ÖZEL TEKLİF (Sponsorlu) Binance Ücretsiz 100$ (Özel): Kayıt olmak ve Binance Vadeli İşlemlerin ilk ayında (şartlar) 100$ ücretsiz ve %10 indirimli ücretler almak için bu bağlantıyı kullanın.

PrimeXBT Özel Teklifi: Kaydolmak ve CYPTOPOTATO50 kodunu girmek için bu bağlantıyı kullanın ve para yatırma işlemlerinizde 7.000$'a kadar kazanın.

Şunlar da hoşunuza gidebilir: CoinEx Hack'inin Arkasındaki Kuzey Kore'ye Bağlı Lazarus Grubu: Report Balancer'ın Ön Uç Saldırısının Ardından 240 Bin Dolardan Fazla Kaybettiği Bildirildi Dengeleyici, Ön Uç Saldırısının Bir Sosyal Mühendislik Saldırısından Kaynaklandığını Söyledi Etiketler: Bilgisayar Korsanlığı Güvenliği