Kuzey Koreli hacker grubu Lazarus, 2024 yılının Eylül ayında kripto para piyasasına yönelik siber saldırılarını yoğunlaştırdı ve siber güvenlik şirketi Group-IB’nin yakın tarihli bir raporuna göre tarayıcı eklentileri ve video konferans uygulamalarını hedefleyen yeni kötü amaçlı yazılımlar tanıttı.
Raporda, grubun odak noktasını bu platformları içerecek şekilde genişlettiği ve giderek daha sofistike kötü amaçlı yazılım varyantları kullandığı belirtiliyor.
Lazarus Grubu’nun Tarayıcı Eklentisi Saldırıları
İş arayanları iş ile ilgili görevler olarak gizlenmiş kötü amaçlı yazılımları indirmeye kandıran ‘Bulaşıcı Röportaj’ kampanyasının yanı sıra, Lazarus Grubu, şimdi sahte video konferans uygulamalarını da içerecek şekilde saldırılarını genişletti .
Bu şema, FCCCall adında sahte bir video konferans uygulamasını içerecek şekilde evrim geçirdi. Bu uygulama, yasal yazılımları taklit ediyor.
Yüklendiğinde, uygulama BeaverTail kötü amaçlı yazılımını dağıtıyor. Bu kötü amaçlı yazılım, tarayıcı uzantıları aracılığıyla tarayıcılardan ve kripto cüzdanlarından kimlik bilgilerini çalmayı amaçlıyor.
Daha sonra “InvisibleFerret” adlı Python tabanlı bir arka kapı kurarak kurbanın sistemini daha da tehlikeye atıyor.
Bu son kampanya, özellikle MetaMask, Coinbase, BNB Chain Wallet, TON Wallet ve Exodus Web3’ü hedefleyerek kripto cüzdan tarayıcı uzantılarına odaklandığını vurguluyor.
Group-IB analistleri, grubun şimdi geniş bir uygulama yelpazesini, MetaMask ve Coinbase dahil olmak üzere hedef aldığını belirtiyor.
Kötü amaçlı JavaScript kullanarak kurbanları, inceleme veya analiz görevleri bahanesiyle yazılım indirmeye çekiyorlar.
Group-IB araştırmacıları, grubun gelişen araç setinin bir parçası olarak ‘CivetQ’ adlı yeni bir Python script seti belirlediler.
Bu scriptler, WWR, Moonlight ve Upwork gibi iş arama platformları aracılığıyla blockchain profesyonellerini hedefleme taktiğinde bir değişiklik olduğunu gösteriyor.
İlk teması kurduktan sonra, hackerlar genellikle konuşmayı Telegram’a taşıyor. Kurbanları, teknik bir iş görüşmesi için sahte bir video konferans uygulaması veya Node.js projesi indirmeye kandırıyorlar.
Lazarus Grubu’nun Kriptoya Giden Tehditinin Büyümesi ve Microsoft Windows Güvenlik Açıklarını İstismar Etmesi
Lazarus Grubu, özellikle Microsoft Windows güvenlik açıklarını yakın zamanda istismar etmesiyle kripto para sektöründe endişe kaynağı olmaya devam ediyor.
Grup, zararlı yazılımlarını daha yeni ve daha sofistike yöntemlerle gizleyerek tespit edilmesini zorlaştırmak için metodlarını geliştirdi.
Bu artış, Federal Soruşturma Bürosu’nun (FBI) gözlemlediği daha geniş eğilimlerle paralellik gösteriyor. FBI, kısa süre önce Kuzey Koreli hackerların, son derece uzmanlaşmış sosyal mühendislik kampanyalarıyla merkezi olmayan finans ve kripto para sektörlerindeki çalışanları hedef aldığını uyardı.
Bu kampanyalar, büyük kripto varlıklarına sahip organizasyonlara sürekli bir tehdit oluşturarak, en güvenli sistemlere bile sızmak için tasarlandı.
İlgili bir gelişmede, Lazarus Grubu’nun sıfır gün Microsoft Windows güvenlik açığını istismar ettiği iddia ediliyor.
CVE-2024-38193 olarak izlenen (CVSS puanı: 7.8) güvenlik açığı, WinSock için Windows Yardımcı İşlev Sürücüsü’nde (AFD.sys) bir ayrıcalık yükseltme hatası olarak tanımlandı.
İki araştırmacı, Luigino Camastra ve Milánek, hackerların bilgisayar sistemlerinin kısıtlı bölgelerine tespit edilmeden erişmesine olanak tanıyan güvenlik açığını keşfetti.
Microsoft, Eylül 2024’teki aylık Patch Tuesday güncellemesinin bir parçası olarak güvenlik açığını ele aldı .
