Kötü şöhretli Kuzey Kore Lazarus hack grubunun yeni bir sosyal mühendislik kampanyası keşfedildi ve bilgisayar korsanları Coinbase'i fintech endüstrisindeki çalışanları hedeflemek için taklit ediyor.
Hacking grubunun kullandığı yaygın bir taktik, bir iş teklifi sunmak ve bir sosyal mühendislik saldırısının bir parçası olarak bir ön tartışma yapmak için LinkedIn üzerindeki hedeflere yaklaşmaktır.
Şubat 2022'den bu yana Lazarus etkinliğini yakından takip eden Malwarebytes'te bir güvenlik araştırmacısı olan Hossein Jazi'ye göre, tehdit aktörleri şimdi "mühendislik yöneticisi, ürün güvenliği" rolüne uygun adayları hedefleyen Coinbase'den geliyormuş gibi yapıyorlar.
Coinbase, Lazarus'un prestijli bir organizasyonda kazançlı ve cazip bir iş teklifi için zemini bırakmasına izin veren dünyanın en büyük kripto para değişim platformlarından biridir.
Mağdurlar, iş pozisyonu hakkında bir PDF olduğuna inandıkları şeyi indirdiklerinde, aslında bir PDF simgesi kullanarak kötü amaçlı bir yürütülebilir ürün alıyorlar. Bu durumda, dosya, kötü amaçlı bir DLL yüklenirken aşağıda gösterildiğinde aşağıda gösterilen tuzak PDF belgesini görüntüleyecek olan "Coinbase_online_careers_2022_07.exe" olarak adlandırılır.
Yürütüldükten sonra, kötü amaçlı yazılım GitHub'ı enfekte olmuş cihazda gerçekleştirmek için komut almak için bir komut ve kontrol sunucusu olarak kullanır.
Bu saldırı zinciri, yıl başında bir blog yayınında Malwarebytes tarafından belgelenen birine benzer.
Jazi, Blewing Computer'a Lazarus'un hedeflerini kötü amaçlı yazılımlarla enfekte etmek için benzer taktikleri ve yöntemleri takip ettiğini ve bireysel kimlik avı kampanyalarında altyapı üst üste bindiğini söyledi.
Lazarus tarafından geçmişte sahte iş teklifleri kullanarak yapılan diğer kampanyalar General Dynamics ve Lockheed Martin içindi.
Devlet destekli Kuzey Kore hack grupları, bankalara, kripto para birimi borsalarına, NFT pazarlarına ve önemli holdinglere sahip bireysel yatırımcılara karşı finansal olarak motive olmuş saldırılar başlattığı bilinmektedir.
Yılın başlarında ABD İstihbarat Hizmetleri, Lazarus'un tütsüleşmiş kripto para cüzdanları ve insanların özel anahtarlarını çalan ve varlıklarını sifonlayan yatırım uygulamalarını yayması konusunda uyardı.
Nisan ayında, ABD Hazinesi ve FBI, blockchain tabanlı oyun Axie Infinity'den Lazarus'a çalınan kripto para birimini 617 milyon dolardan fazla Ethereum ve USDC jetonlarını çalmaktan sorumlu tuttu.
Daha sonra açıklandığı gibi, Temmuz ayında, Axie Infinity Hack, blockchain mühendislerinden birine gönderilen kazançlı bir iş teklifinin ayrıntılarını içeren bağcıklı bir PDF dosyası sayesinde mümkün oldu.
Dosyayı açmak mühendisin bilgisayarına enfekte oldu, Lazarus'un ayrıcalıklarını yükseltmesini ve firmanın ağında yanal olarak hareket etmesini sağladı, sonunda Ronin Köprüsü'nde bir güvenlik açığını buldu ve bir istismar tetikledi.
Aynı tür saldırı, Lazarus'un en son Coinbase tarafından yaşayan kampanyada elde etmeyi umduğu şeydir, çünkü bir şirkette sadece tek bir kişiyi PDF'yi açmak ve bilgisayar korsanlarının kurumsal ağa ilk erişim kazanmasını sağlamak için alacaktır.
Bilgisayar korsanları sahte iş görüşmeleri aracılığıyla Axie Infinity'den 620 milyon dolar çaldı
İlk kripto içeriden ticaret çantasında eski Coinbase Manager
Hackers Clone Coinbase, Metamask Mobil Cüzdanlar Kriptinizi Çalmak İçin
Klonlanmış atom cüzdan web sitesi Mars Stealer kötü amaçlı yazılım itiyor
Binlerce Solana Cüzdan Bilinmeyen istismar kullanılarak saldırıda boşaltıldı
Kaynak: Bleeping Computer