Kötü şöhretli Kuzey Koreli tehdit aktörü Lazarus Group, kötü amaçlı yazılımlarla dolu sahte iş teklifleriyle blockchain geliştiricilerini cezbetmeye çalışırken görüldü.
Malwarebytes’ten siber güvenlik araştırmacıları, kimliği Lazarus’un üstlendiği yeni bir kampanya keşfetti. (yeni sekmede açılır) Dünyanın en büyük ve en popüler kripto para borsalarından biri olan Coinbase.
Suçlular daha sonra “Mühendislik Müdürü, Ürün Güvenliği” rolü için bir iş teklifi ile blok zinciri geliştiricilerine ulaşıyor ve hatta tüm kampanyayı daha inandırıcı hale getirmek için birkaç görüşme yapıyor. dosya, görünüşte bir PDF, iddia edilen iş pozisyonuyla ilgili ayrıntılar. kötü amaçlı bir DLL de dağıtır.
Sahte iş teklifleri bolca
Bu dosyalar daha sonra komut ve kontrol (C2) sunucusu olarak sunucular olan ve uç noktaya en iyi nasıl bulaşılacağına dair ek talimatları paylaşan GitHub’a bağlanacaktır.
“Sahte iş teklifi” türü saldırı yeni bir şey değil. Aslında, tüm zamanların en büyük kripto hırsızlığı, Ronin köprüsüne yapılan 600 milyon dolarlık bir saldırı da aynı şekilde gerçekleşti. Kaliteli geliştiriciler arayan bir kelle avcısı gibi davranan biri, LinkedIn aracılığıyla Ronin’in geliştiricilerinden birine yaklaştı.
Bir şey diğerine yol açtı ve kurban sonunda saldırganlara Ronin’in krallığının anahtarlarını veren silahlı bir PDF dosyası indirdi.
FBI da bu saldırı için parmağını Lazarus Grubu’na yöneltti. Gerçek olup olmadığına bakılmaksızın, bu tehdit aktörü sahte iş tekliflerine kesinlikle yabancı değildir. Grup zaten aynı amaç için General Dynamics ve Lockheed Martin’i kullandı.
Lazarus genellikle bankalara, kripto para borsalarına, NFT pazarlarına ve bazen de ağır bir kripto para çantası tuttuğu bilinen kişilere saldırır.
Aracılığıyla: Bipleyen Bilgisayar (yeni sekmede açılır)
