Kripto para borsaları siber saldırı altında

Kripto para borsaları siber saldırı altında

Siber güvenlik uzmanları, hacker grubu DeathStalker'un kripto para borsalarına saldırdığını tespit etti.

A+A-

Kaspersky araştırmacıları, DeathStalker kiralık hacker grubunun 2018'den beri düzenlediği saldırı kampanyalarını izlemeye aldı.

Şirket açıklamasına göre, analizler tehdit aktörünün 2022'de Malta, Birleşik Arap Emirlikleri, Rusya, Bulgaristan, Kıbrıs, Almanya, Grenadalar ve Kuveyt'teki kripto para borsalarına ve döviz bozdurma şirketlerine saldırmak için "VileRat" araç setini güncellediğini gösteriyor.

DeathStalker, Kaspersky'nin 2018'den beri izlediği, esas olarak finans sektöründeki hukuk firmalarını ve kuruluşları hedef alan, kötü şöhretli bir kiralık APT aktörü.

Bu tehdit aktörü, saldırılarının siyasi veya mali odaklı olmayışıyla öne çıkıyor. Kaspersky araştırmacıları DeathStalker'ın paralı bir organizasyon olarak hareket ettiğine, özel bilgisayar korsanlığı veya finansal istihbarat hizmetleri sunduğuna inanıyor.

2020'de Kaspersky araştırmacıları, DeathStalker'ın genel profiline ve Janicab, Evilnum, PowerSing ve PowerPepper kampanyaları dahil olmak üzere kötü niyetli etkinliklerine ilişkin bir genel rapor yayınladı. Kaspersky uzmanları, 2020'nin ortalarında "VileRAT" Python "implantına" dayanan yeni ve gözen kaçmaya son derece meyilli bir "enfeksiyon" keşfetti.

Aktörün faaliyetlerini o zamandan beri yakından takip eden uzmanlar, 2022'de tüm dünyadaki yabancı para birimi (FOREX) ve kripto para ticaret şirketlerini agresif bir şekilde hedeflediklerini belirledi.

VileRat, genellikle hedef odaklı kimlik avı e-postalarıyla başlayan karmaşık bir enfeksiyon zincirinden sonra devreye alınıyor. Bu yaz saldırganlar, kötü amaçlı belgeler göndermek için hedeflenen şirketlerin halka açık web sitelerine yerleştirilmiş sohbet robotlarından da faydalandı. Söz konusu DOCX belgeleri sıklıkla "uyum" veya "şikayet" anahtar sözcükleri ve hedeflenen şirketin adı kullanılarak adlandırıldı. Bu da saldırganın saldırıyı gizlemek için bir kimlik talebini yanıtladığına veya bir sorunu bildirdiğine işaret ediyor.

Önceden belgelenen DeathStalker etkinlikleriyle karşılaştırıldığında VileRAT kampanyası araçlarının gelişmişliği, geniş altyapısı, tüm bulaşma vektörü boyunca kullanılan sayısız şaşırtma teknikleri ve 2020'den beri sürekli ve kalıcı etkinliğiyle öne çıkıyor. VileRAT kampanyası, DeathStalker'ın hedeflerine erişimi geliştirmek ve sürdürmek için bir çaba sarf edildiğini gösteriyor. Saldırıların olası amacı durum tespiti, varlık kurtarma, dava veya tahkim davaları desteğinden yaptırımların etrafından dolaşmaya kadar uzanıyor. Tüm bunlara rağmen amaç doğrudan finansal kazançmış gibi görünmüyor.

VileRat belirli ülkeleri hedeflemekle ilgilenmiyor. Kaspersky araştırmacıları VileRat'ın kullanıldığı, Bulgaristan, Kıbrıs, Almanya, Grenadalar, Kuveyt, Malta, Birleşik Arap Emirlikleri ve Rusya'ya yönelik ayrım gözetmeyen gelişmiş saldırılar rapor ediyor. Saldırıdan etkilenen organizasyonla yeni kurulan girişimlerden yerleşik endüstri liderlerine kadar geniş bir alana uzanıyor.

"Güvenlik bilinci eğitimiyle ekibinize pratik beceriler kazandırın"

Açıklamada görüşlerine yer verilen Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Pierre Delcher, "Tehdit aktörünü takip ettiğimiz süre boyunca, tespitten kaçmak DeathStalker için her zaman bir amaç olmuştur. Ancak VileRAT kampanyası bu arzuyu başka bir düzeye taşıdı. Hiç şüphesiz bu aktör bu alanda tespit ettiğimiz en karmaşık kampanyaya imza atıyor. DeathStalker'ın taktiklerinin ve uygulamalarının, böyle bir saldırıya dayanacak kadar deneyimli olmayan, güvenliğini yeterince sağlamamış veya güvenliğine çok dikkat etmeyen üçüncü partilerle sıkça iş yapan kurumları dize getirmek için yeterli olacağını düşünüyoruz." ifadelerini kullandı.

İlgili Haberler