SurgeoN
Yeni Üye
Finansal operasyonlarıyla ünlü, gelişmiş ve kararlı tehdit aktörü Lazarus, kripto para ünitelerini çalarak gelirini artırmak işçin Truva atına dönüştürülmüş, dağıtılmış, finans (DeFi) uygulamalarıyla atağa geçti. bu biçimdece Lazarus, kurbanlarının sistemleri üzerinde denetim sağlayan makus emelli yazılımları dağıtarak, kripto para cüzdanlarını yönetmek için kullanılan yasal uygulamaları berbata kullanıyor.
Lazarus kümesi, 2009’dan beri faaliyet gösteren dünyanın en etkin APT aktörlerinden biri. Birden fazla devlet dayanaklı APT kümesinin bilakis Lazarus ile temaslı APT tehdit aktörleri, finansal yararı öncelikli maksatlarından biri haline getirdi. Kripto para piyasası, takas edilemeyen token (NFT) ve dağıtılmış finans (DeFi) pazarlarıyla birlikte büyürken, Lazarus kripto para kullanıcılarını hedeflemek için yeni yollar bulmaya devam ediyor.
Aralık 2021’de Kaspersky araştırmacıları, Lazarus kümesi tarafınca sağlanan bir Truva Atı DeFi uygulamasını kullanarak kripto para çalmaya çalışan yeni bir berbat maksatlı yazılım operasyonunu ortaya çıkardı. Uygulama, kripto para cüzdanlarını kaydeden ve yöneten DeFi Wallet isimli yasal bir program içeriyor. Uygulama çalıştırıldığında, legal uygulama yükleyicinin yanına makus gayeli bir evrak bırakılıyor ve makus gayeli yazılım Truva atlı bir yükleyici yoluyla başlatılıyor. Oluşturulan bu makûs emelli yazılım, sonrasındasında Truva Atı uygulanmış bir biçimde yasal uygulamanın üzerine ekleniyor.
Bu bulaşma nizamında kullanılan makus hedefli yazılım, kurbanın sistemlerini uzaktan denetim etme yeteneğine sahip tam özellikli bir art kapı özelliğinde. Saldırgan, sistemin denetimini ele geçirdikten daha sonra evrakları silebiliyor, bilgi toplayabiliyor, muhakkak IP adreslerine bağlanabiliyor ve komuta denetim sunucusuyla bağlantı kurabiliyor. Lazarus’un hücumlarının geçmişine dayanarak, araştırmacılar bu operasyonun gerisindeki motivasyonun finansal çıkar olduğunu var iseyıyorlar. Bu art kapının fonksiyonlarını inceledikten daha sonra Kaspersky araştırmacıları, Lazarus kümesi tarafınca kullanılan öteki araçlarla, CookieTime ve ThreatNeedle kötü hedefli yazılım kümeleriyle epeyce sayıda benzerlik keşfetti. Çok evreli bulaşma şeması, Lazarus’un altyapısında da ağır olarak kullanılıyor.
Kaspersky Global Araştırma ve Tahlil Takımı (GReAT) Kıdemli Güvenlik Araştırmacısı Seongsu Park, şunları söylüyor: “Lazarus’un kripto para ünitesi sanayisine olan ilgisini bir müddetdir gözlemliyoruz ve bulaşma sürecine dikkat çekmeden, kurbanlarını cezbetmek için karmaşık usuller geliştirdiklerini görüyoruz. Kripto para ünitesi ve blok zinciri tabanlı bölümler, gelişmeye ve daha yüksek seviyede yatırım çekmeye devam ediyor. Bu niçinle sadece dolandırıcıları ve kimlik avcılarını değil, beraberinde finansal olarak motive edilmiş APT kümeleri da dahil olmak üzere büyük oyuncuları da cezbediyorlar. Kripto para piyasasının büyümesiyle Lazarus’un bu bölüme olan ilgisinin yakın vakitte azalmayacağını düşünüyoruz. Yakın tarihindeki bir kampanyada Lazarus, legal bir DeFi uygulamasını taklit ederek ve kripto avcılığında yaygın olarak kullanılan bir taktik olan makûs hedefli yazılımları bırakarak durumu berbata kullandı. Bu niçinle şirketleri, tanıdık ve inançlı görünseler bile bilinmeyen irtibatlar ve e-posta ekleri konusunda dikkatli olmaya çağırıyoruz.”
Hibya Haber Ajansı
Lazarus kümesi, 2009’dan beri faaliyet gösteren dünyanın en etkin APT aktörlerinden biri. Birden fazla devlet dayanaklı APT kümesinin bilakis Lazarus ile temaslı APT tehdit aktörleri, finansal yararı öncelikli maksatlarından biri haline getirdi. Kripto para piyasası, takas edilemeyen token (NFT) ve dağıtılmış finans (DeFi) pazarlarıyla birlikte büyürken, Lazarus kripto para kullanıcılarını hedeflemek için yeni yollar bulmaya devam ediyor.
Aralık 2021’de Kaspersky araştırmacıları, Lazarus kümesi tarafınca sağlanan bir Truva Atı DeFi uygulamasını kullanarak kripto para çalmaya çalışan yeni bir berbat maksatlı yazılım operasyonunu ortaya çıkardı. Uygulama, kripto para cüzdanlarını kaydeden ve yöneten DeFi Wallet isimli yasal bir program içeriyor. Uygulama çalıştırıldığında, legal uygulama yükleyicinin yanına makus gayeli bir evrak bırakılıyor ve makus gayeli yazılım Truva atlı bir yükleyici yoluyla başlatılıyor. Oluşturulan bu makûs emelli yazılım, sonrasındasında Truva Atı uygulanmış bir biçimde yasal uygulamanın üzerine ekleniyor.
Bu bulaşma nizamında kullanılan makus hedefli yazılım, kurbanın sistemlerini uzaktan denetim etme yeteneğine sahip tam özellikli bir art kapı özelliğinde. Saldırgan, sistemin denetimini ele geçirdikten daha sonra evrakları silebiliyor, bilgi toplayabiliyor, muhakkak IP adreslerine bağlanabiliyor ve komuta denetim sunucusuyla bağlantı kurabiliyor. Lazarus’un hücumlarının geçmişine dayanarak, araştırmacılar bu operasyonun gerisindeki motivasyonun finansal çıkar olduğunu var iseyıyorlar. Bu art kapının fonksiyonlarını inceledikten daha sonra Kaspersky araştırmacıları, Lazarus kümesi tarafınca kullanılan öteki araçlarla, CookieTime ve ThreatNeedle kötü hedefli yazılım kümeleriyle epeyce sayıda benzerlik keşfetti. Çok evreli bulaşma şeması, Lazarus’un altyapısında da ağır olarak kullanılıyor.
Kaspersky Global Araştırma ve Tahlil Takımı (GReAT) Kıdemli Güvenlik Araştırmacısı Seongsu Park, şunları söylüyor: “Lazarus’un kripto para ünitesi sanayisine olan ilgisini bir müddetdir gözlemliyoruz ve bulaşma sürecine dikkat çekmeden, kurbanlarını cezbetmek için karmaşık usuller geliştirdiklerini görüyoruz. Kripto para ünitesi ve blok zinciri tabanlı bölümler, gelişmeye ve daha yüksek seviyede yatırım çekmeye devam ediyor. Bu niçinle sadece dolandırıcıları ve kimlik avcılarını değil, beraberinde finansal olarak motive edilmiş APT kümeleri da dahil olmak üzere büyük oyuncuları da cezbediyorlar. Kripto para piyasasının büyümesiyle Lazarus’un bu bölüme olan ilgisinin yakın vakitte azalmayacağını düşünüyoruz. Yakın tarihindeki bir kampanyada Lazarus, legal bir DeFi uygulamasını taklit ederek ve kripto avcılığında yaygın olarak kullanılan bir taktik olan makûs hedefli yazılımları bırakarak durumu berbata kullandı. Bu niçinle şirketleri, tanıdık ve inançlı görünseler bile bilinmeyen irtibatlar ve e-posta ekleri konusunda dikkatli olmaya çağırıyoruz.”
Hibya Haber Ajansı