Lazarus alt grubu BlueNoroff ile ilişkili operatörler, üretken Kuzey Kore devleti tarafından desteklenen bir başka finansal olarak motive edilmiş operasyonda, kripto para birimi fonlarını boşaltmak amacıyla dünya çapında küçük ve orta ölçekli şirketleri hedef alan bir dizi siber saldırıya bağlandı. aktör.
Rus siber güvenlik şirketi Kaspersky, “adlı izinsiz girişleri takip ediyor”SnatchKripto,” kampanyanın 2017’den beri devam ettiğini belirterek, saldırıların Çin, Hong Kong, Hindistan, Polonya, Rusya, Singapur, Slovenya, Çek Cumhuriyeti, BAE, ABD’de bulunan FinTech sektöründeki startup’ları hedeflediğini de sözlerine ekledi. , Ukrayna ve Vietnam.
Araştırmacılar, “Saldırganlar, hedef şirketlerde çalışan çalışanların güvenini, onlara bir sözleşme veya başka bir iş dosyası kılığında, gözetim işlevlerine sahip tam özellikli bir Windows arka kapısı göndererek kurnazca suistimal ediyor” dedi. söz konusu. Oyuncu, sonunda kurbanın kripto cüzdanını boşaltmak için kapsamlı ve tehlikeli kaynaklar geliştirdi: karmaşık altyapı, açıklardan yararlanma ve kötü amaçlı yazılım implantları.”
BlueNoroff ve daha büyük Lazarus şemsiyesi, bilinen yaptırımlardan etkilenen Kuzey Kore rejimi için gelişmiş kimlik avı taktikleri ve sofistike kötü amaçlı yazılımların bir karışımına güvenmek ve nükleer silahları ve balistik için gelir elde etmek de dahil olmak üzere, yasadışı olarak fon tedarik etmek üzere işletmelere çok yönlü bir saldırı için çeşitli kötü amaçlı yazılım cephaneliğini dağıtmak için füze programları
Bir şey olursa, bu siber saldırılar büyük zaman kazandırıyor. göre yeni rapor Blockchain analitik firması Chainalysis tarafından yayınlanan Lazarus Group, 2020’de 300 milyon dolardan yalnızca 2021’de neredeyse 400 milyon dolar değerinde dijital varlık çıkaran kripto para birimi platformlarına yönelik yedi saldırıyla bağlantılı.
“Bu saldırılar öncelikle yatırım firmalarını ve merkezi borsaları hedef aldı. […] bu kuruluşların internete bağlı olan fonlarından para çekmek ‘sıcak’ cüzdanlar DPRK tarafından kontrol edilen adreslere” dedi araştırmacılar. “Kuzey Kore fonların velayetini aldıktan sonra, örtbas etmek ve para çekmek için dikkatli bir aklama süreci başlattılar” karıştırıcılar izini gizlemek için.
Ulus devlet aktörünün dahil olduğu belgelenmiş kötü niyetli faaliyetler, yabancı finans kurumlarına, özellikle 2015-2016’daki SWIFT bankacılık ağı hack’lerine karşı siber destekli soygunlar şeklini aldı ve son kampanyalar AppleJeus adlı bir arka kapının konuşlandırılmasıyla sonuçlandı. yağmalamak ve hesaplarına para aktarmak için kripto para ticaret platformu.
SnatchCrypto saldırıları, meşru risk sermayesi şirketleri gibi davranarak hedefleriyle güven inşa etmek için ayrıntılı sosyal mühendislik şemaları hazırlamaları bakımından farklı değildir, yalnızca kurbanları kötü niyetli bir yürütülebilir dosyayı çalıştırmak için tasarlanmış bir yükü alan kötü amaçlı yazılım yüklü belgeleri açmaya yönlendirmek için kullanırlar. uzak bir sunucudan şifreli bir kanal üzerinden alındı.
Bulaşma zincirini tetiklemek için kullanılan alternatif bir yöntem, bir sonraki aşamadaki kötü amaçlı yazılımı, bir Visual Basic Komut Dosyasını getirmek için Windows kısayol dosyalarının (“.LNK”) kullanılmasıdır, bu daha sonra bir dizi aracı yükü yürütmek için bir atlama noktası görevi görür. ekran görüntüsü almak, tuş vuruşlarını kaydetmek, Chrome tarayıcıdan veri çalmak ve rastgele komutlar yürütmek için “zenginleştirilmiş” yeteneklerle birlikte gelen tam özellikli bir arka kapı yüklemeden önce.
Ancak saldırıların nihai amacı, güvenliği ihlal edilen kullanıcıların finansal işlemlerini izlemek ve kripto para birimini çalmak. Potansiyel bir hedef, kripto cüzdanlarını yönetmek için Metamask gibi bir Chrome uzantısı kullanırsa, düşman, uzantının ana bileşenini, başka bir hesaba her büyük aktarım başlatıldığında operatörleri uyaran sahte bir sürümle yerel olarak değiştirmek için gizlice hareket eder.
Fonları sifonlamak için, talep üzerine işlem ayrıntılarını kesmek ve değiştirmek için kötü amaçlı kod enjeksiyonu gerçekleştirilir. “Saldırganlar yalnızca alıcıyı değil [wallet] değil, aynı zamanda para miktarını da sınıra iterek, hesabı tek bir hamlede boşaltıyor” diyor araştırmacılar. açıkladı.
Güvenlik bilinci savunucusu Erich Kron, “Kripto para birimlerinin merkezi olmayan yapısı ve kredi kartı veya banka transferlerinden farklı olarak işlemin hızlı bir şekilde gerçekleşmesi ve tersine çevrilmesi imkansız olması nedeniyle siber suç söz konusu olduğunda, kripto paralar yoğun bir şekilde hedeflenen bir sektördür.” KnowBe4’te yaptığı açıklamada.
Kron, “Ulus devletler, özellikle katı tarifeler veya diğer finansal kısıtlamalar altındakiler, kripto para birimini çalarak ve manipüle ederek büyük fayda sağlayabilir. Çoğu zaman, bir kripto para cüzdanı birden fazla kripto para türü içerebilir ve bu onları çok çekici bir hedef haline getirir.”
.
siber-2