Kuzey Koreli 'Lazarus' hackleme grubu, ağlara ilk erişim ve kripto varlıklarını çalmak için Applejeus kötü amaçlı yazılımları yüklemek için "Bloxholder" adlı makaleli marka "Bloxholder" altında sahte kripto para birimi uygulamalarını yayan yeni bir saldırı ile bağlantılıdır.
Şubat 2021'den itibaren ortak bir FBI ve CISA raporuna göre, Applejeus en az 2018'den beri Lazarus tarafından kripto para birimi kaçırma ve dijital varlık hırsızlığı operasyonlarında kullanılan dolaşımda.
Volexity'nin yeni bir raporu, kötü amaçlı yazılımların enfeksiyon zincirinde ve yeteneklerinde evrim belirtileri ile yeni, sahte kripto programları ve Applejeus etkinliği belirledi.
Lazarus'a atfedilen yeni kampanya Haziran 2022'de başladı ve en az Ekim 2022'ye kadar aktifti.
Bu kampanyada, tehdit aktörleri Haasonline otomatik kripto para ticaret platformunun bir klonu olan "Bloxholder [.] Com" alanını kullandı.
Bu web sitesi, bloxholder uygulaması gibi davranan 12.7MB Windows MSI yükleyicisi dağıttı. Ancak, gerçekte, Qtbitcointrader uygulamasıyla birlikte bir araya getirilmiş Applejeus kötü amaçlı yazılımdı.
Ekim 2022'de, hackleme grubu, kötü amaçlı yazılımları dağıtmak için MSI yükleyicisi yerine Microsoft Office belgelerini kullanma kampanyalarını geliştirdi.
214KB belgesine 'OKX Binance & Huobi VIP Ücret Karşılaştırması.xls' olarak adlandırıldı ve bir hedefin bilgisayarında üç dosya oluşturan bir makro içeriyordu.
Volexity, bu daha sonraki enfeksiyon zincirinden son yükü alamadı, ancak daha önce kullanılan MSI yükleyici saldırılarında bulunan DLL kenar yükleme mekanizmasında benzerlikler fark ettiler, bu yüzden aynı kampanya olduğundan eminler.
MSI enfeksiyon zinciri üzerinden kurulum üzerine, Applejeus planlanmış bir görev oluşturacak ve "%AppData%\ Roaming \ Bloxholder \" klasörüne ek dosyalar bırakacaktır.
Ardından, kötü amaçlı yazılım MAC adresini, bilgisayar adını ve işletim sistemi sürümünü toplayacak ve bir sanal makinede veya kum havuzunda çalışıp çalışmadığını belirleyecek bir posta isteği aracılığıyla C2'ye gönderecektir.
Son kampanyalardaki yeni bir unsur, kötü amaçlı yazılımları güvenilir bir süreçten yüklemek için zincirlenmiş dll kenar yüküdür ve AV tespitinden kaçınır.
"Özellikle," Camerasettingsuihost.exe "," DUI70.dll "dosyasını" System32 "dizininden yükler, bu da uygulamanın dizininden kötü niyetli" duser.dll "dosyasının" kamerasettingsuihost.exe "işlemine yüklenmesine neden olur, "Volexity'yi açıklıyor.
"" DUI70.DLL "dosyası" Windows Directui motoru "dır ve normalde işletim sisteminin bir parçası olarak yüklenir."
Volexity, Lazarus'un zincirli DLL sideloading'i seçmesinin nedeni belirsiz olduğunu ancak kötü amaçlı yazılım analizini engellemek olabileceğini söylüyor.
Son Applejeus örneklerindeki bir başka yeni karakteristik, tüm dizelerinin ve API çağrılarının artık özel bir algoritma kullanılarak gizlenmesi ve onları güvenlik ürünlerine karşı daha gizli hale getirmesidir.
Lazarus'un kripto para birimi varlıklarına odaklanmasına iyi belgelenmiş olsa da, Kuzey Koreli bilgisayar korsanları dijital para çalma, sürekli yenilenme temalarını ve mümkün olduğunca gizli kalmak için araçları iyileştirme hedeflerine sabit kalıyor.
Lazarus Grubu (aynı zamanda çinko olarak da izlendi), en azından 2009'dan beri aktif olan bir Kuzey Koreli hack grubudur.
Grup, Blockbuster Operasyonu ve dünya çapında işletmeleri şifreleyen 2017 Global WannaCry fidye yazılımı kampanyasında Sony filmlerini hackledikten sonra kötü şöhret kazandı.
Google, Ocak 2021'de Lazarus'un cihazlarına backdoors yükleyen sosyal mühendislik saldırılarındaki güvenlik araştırmacılarını hedeflemek için sahte çevrimiçi kişiler yarattığını keşfetti. Bu taktiği kullanan ikinci bir saldırı Mart 2021'de keşfedildi.
ABD hükümeti Eylül 2019'da Lazarus Hacking Grubu'nu onayladı ve şimdi faaliyetlerini bozabilecek bilgiler için 5 milyon dolara kadar bir ödül sunuyor.
Daha yeni saldırılar, insanların özel anahtarlarını çalan ve kripto varlıklarını boşaltan truva para cüzdanlarının ve ticaret uygulamalarının yayılmasına dönüştü.
Nisan ayında ABD hükümeti, Lazarus grubunu Axe Infinity'deki 617 milyon dolardan fazla Ethereum ve USDC jetonlarını çalmalarına izin veren bir siber saldırıya bağladı.
Daha sonra Axie Infinity Hack'in, şirket mühendislerinden birine gönderilen bir iş teklifi gibi davranan kötü niyetli bir PDF dosyası içeren bir kimlik avı saldırısı nedeniyle mümkün olduğu ortaya çıktı.
Yeni Windows kötü amaçlı yazılım, kurbanların cep telefonlarından verileri de çalıyor
Kuzey Koreli hackerlar güncellenmiş kötü amaçlı yazılımlarla Avrupa orgs hedeflerini hedefleyin
Sim Swapper 22 milyon dolarlık kripto soygununa katılım için 18 aylık alıyor
ABD Hükümeti, 'Domuz Kasap' Dolandırıcılarında Kullanılan Alanları Elde Ediyor
575 milyon dolarlık kripto ponzi planı yürüttüğü için iki Estonyalı tutuklandı
Kaynak: Bleeping Computer