Kuzey Kore bağlantılı Lazarus Grubu’nun, yeni bir siber saldırı kampanyasına atfedildiği iddia edildi. Operasyon 99 Bu, kötü amaçlı yazılım dağıtmak için serbest Web3 ve kripto para birimi çalışması arayan yazılım geliştiricilerini hedef aldı.
SecurityScorecard’ın Tehdit Araştırması ve İstihbaratından sorumlu kıdemli başkan yardımcısı Ryan Sherstobitoff, “Kampanya, LinkedIn gibi platformlarda poz veren, geliştiricileri proje testleri ve kod incelemeleriyle cezbeden sahte işe alım uzmanlarıyla başlıyor” dedi. söz konusu bugün yayınlanan yeni bir raporda.
“Kurban yemi yuttuğunda, kötü amaçlı bir GitLab deposunu klonlamaya yönlendiriliyor; görünüşte zararsız ama felaketle dolu. Klonlanan kod, komuta ve kontrol (C2) sunucularına bağlanarak kurbanın ortamına kötü amaçlı yazılım yerleştiriyor.”
Kampanyanın kurbanları dünya çapında tespit edildi ve İtalya’da önemli bir yoğunluk kaydedildi. Daha az sayıda etkilenen mağdur ise Arjantin, Brezilya, Mısır, Fransa, Almanya, Hindistan, Endonezya, Meksika, Pakistan, Filipinler, İngiltere ve ABD’de bulunuyor.
Siber güvenlik şirketi, 9 Ocak 2025’te keşfettiği kampanyanın şu temellere dayandığını söyledi: iş temalı taktikler Daha önce Dream Job Operasyonu (diğer adıyla NukeSped) gibi Lazarus saldırılarında özellikle Web3 ve kripto para birimi alanlarındaki geliştiricileri hedeflemeye odaklanmak için gözlemlenmişti.
Operasyon 99’u benzersiz kılan şey, geliştiricileri, aldatıcı LinkedIn profilleri oluşturmayı içeren ve daha sonra onları hileli GitLab depolarına yönlendirmek için kullanılan ayrıntılı bir işe alım planının parçası olarak kodlama projeleriyle cezbetmesidir.
Saldırıların nihai hedefi, geliştirme ortamlarından kaynak kodunu, sırları, kripto para birimi cüzdan anahtarlarını ve diğer hassas verileri çıkarabilen veri çalma implantlarını dağıtmaktır.
Bunlar arasında Main5346 ve üç ek yük için indirici görevi gören Main99 çeşidi yer alıyor:
- Sistem verilerini (örn. dosyalar ve pano içeriği) toplayan, web tarayıcısı işlemlerini sonlandıran, rastgele yürüten ve C2 sunucusuyla kalıcı bir bağlantı kuran Payload99/73 (ve işlevsel olarak benzer Payload5346)
- Kimlik bilgileri hırsızlığını kolaylaştırmak için web tarayıcılarından veri çalan Brow99/73
- Klavye ve pano etkinliğini gerçek zamanlı olarak izleyen ve dışarı çıkaran MCLIP
Şirket, “Saldırganlar, geliştirici hesaplarını tehlikeye atarak yalnızca fikri mülkiyet haklarını sızdırmakla kalmıyor, aynı zamanda kripto para cüzdanlarına da erişim sağlayarak doğrudan finansal hırsızlığa olanak tanıyor” dedi. “Özel ve gizli anahtarların hedefli olarak çalınması, milyonlarca dijital varlığın çalınmasına yol açarak Lazarus Grubunun mali hedeflerini ilerletebilir.”
Kötü amaçlı yazılım mimarisi modüler bir tasarımı benimser, esnektir ve Windows, macOS ve Linux işletim sistemlerinde çalışabilir. Aynı zamanda ulus devlet siber tehditlerinin sürekli gelişen ve uyarlanabilir doğasını vurgulamaya da hizmet ediyor.
Sherstobitoff, “Kuzey Kore için bilgisayar korsanlığı gelir getiren bir cankurtaran halatıdır” dedi. “Lazarus Grubu, rejimin hırslarını beslemek için sürekli olarak çalınan kripto para birimini akıttı ve şaşırtıcı meblağlar biriktirdi. Web3 ve kripto para endüstrilerinin hızla gelişmesiyle birlikte, Operasyon 99 bu yüksek büyüme gösteren sektörlere odaklanıyor.”
