ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Federal Soruşturma Bürosu (FBI) ve Hazine Departmanı ile birlikte, Lazarus Grubu tarafından blockchain şirketlerini hedef alan devam eden yeni bir dizi siber saldırı konusunda uyardı.
Etkinlik kümesini çağırma TüccarHainsızıntılar, en az 2020’den beri Web3.0 endüstrisinde faaliyet gösteren Kuzey Kore devlet destekli gelişmiş kalıcı tehdit (APT) aktörünü vuran varlıkları içeriyor.
Hedeflenen kuruluşlar arasında kripto para borsaları, merkezi olmayan finans (DeFi) protokolleri, oyna-kazan kripto para video oyunları, kripto para ticaret şirketleri, kripto para birimine yatırım yapan risk sermayesi fonları ve büyük miktarda kripto para birimine veya değiştirilemez değerli tokenlere (NFT’ler) sahip bireysel kişiler yer alıyor. .
Saldırı zincirleri, tehdit aktörünün farklı iletişim platformları aracılığıyla kurbanları Windows ve macOS için silahlı kripto para uygulamaları indirmeye ikna etmesi ve ardından kötü amaçlı yazılımı ağ genelinde yaymak için erişimden yararlanması ve özel anahtarları çalmak için takip faaliyetleri yürütmesiyle başlar. ve haydut blockchain işlemlerini başlatın.
Danışmanlık, “İzinsiz girişler, kripto para birimi şirketlerinin çalışanlarına gönderilen çok sayıda hedefli kimlik avı mesajıyla başlar” diyor. “Mesajlar genellikle bir işe alım çabasını taklit ediyor ve alıcıları kötü amaçlı kripto para birimi uygulamalarını indirmeye ikna etmek için yüksek ücretli işler sunuyor.”
Bu, grubun kripto para birimini çalmak için özel kötü amaçlı yazılım dağıttığı ilk sefer değil. Lazarus Group tarafından yürütülen diğer kampanyalar, AppleJeus Operasyonu, SnatchCrypto ve daha yakın zamanda, Windows makinelerine arka kapıya trojanlı DeFi cüzdan uygulamalarından yararlanmayı içeriyor.
TraderTraitor tehdidi, açık kaynaklı projelere dayanan ve kripto para ticareti veya fiyat tahmin yazılımı olduğunu iddia eden bir dizi sahte kripto uygulamasından oluşuyor, yalnızca daha önce grubun saldırı kampanyalarına bağlı bir kötü amaçlı yazılım olan Manuscrypt uzaktan erişim truva atını teslim etmek için. kripto para birimi ve mobil oyun endüstrileri.
Kötü amaçlı uygulamaların listesi aşağıdadır –
- DAFOM (dafom[.]dev)
- TokenAIS (belirteçler[.]com)
- CryptAIS (kriptalar[.]com)
- AlticGO (alticgo[.]com)
- esilet[.]com) ve
- CreAI Güverte (creaideck[.]com)
Açıklama, Hazine Departmanı’nın Axie Infinity’nin Ronin Network’ünün kripto para hırsızlığını Lazarus Group’a bağlayarak çalınan fonları almak için kullanılan cüzdan adresini onaylamasından bir haftadan kısa bir süre sonra geldi.
“Kuzey Kore devlet destekli siber aktörler kullanmak Ajanslar, ilgilenilen bilgisayar ağlarından yararlanmak, hassas kripto para birimi-fikri mülkiyeti elde etmek ve finansal varlıklar elde etmek için bir dizi taktik ve teknik” dedi.
“Bu aktörler, Kuzey Kore rejimini desteklemek için fon oluşturmak ve aklamak için kripto para teknolojisi firmalarının, oyun şirketlerinin ve borsaların güvenlik açıklarından yararlanmaya devam edecekler.”