Finansal operasyonlarıyla ünlü tehdit aktörü Lazarus, kripto para birimlerini çalarak gelirini artırmak için Truva atına dönüştürülmüş, dağıtılmış finans (DeFi) uygulamalarıyla saldırıya geçti.
Kaspersky açıklamasına göre, Lazarus, kurbanlarının sistemleri üzerinde kontrol sağlayan kötü amaçlı yazılımları dağıtarak, kripto para cüzdanlarını yönetmek için kullanılan meşru uygulamaları kötüye kullanıyor. Lazarus grubu, 2009'dan beri faaliyet gösteren dünyanın en aktif APT aktörlerinden biri olarak öne çıkıyor. Lazarus ile bağlantılı APT tehdit aktörleri, finansal kazancı öncelikli hedeflerinden biri haline getirdi. Kripto para piyasası, takas edilemeyen token (NFT) ve dağıtılmış finans (DeFi) pazarlarıyla birlikte büyürken, Lazarus kripto para kullanıcılarını hedeflemek için yeni yollar bulmaya devam ediyor.
Aralık 2021'de Kaspersky araştırmacıları, Lazarus grubu tarafından sağlanan bir Truva atı DeFi uygulamasını kullanarak kripto para çalmaya çalışan yeni bir kötü amaçlı yazılım operasyonunu ortaya çıkardı. Uygulama, kripto para cüzdanlarını kaydeden ve yöneten DeFi Wallet adlı meşru bir program içeriyor. Uygulama çalıştırıldığında, meşru uygulama yükleyicinin yanına kötü amaçlı bir dosya bırakılıyor ve kötü amaçlı yazılım Truva atlı bir yükleyici yoluyla başlatılıyor. Oluşturulan bu kötü amaçlı yazılım, daha sonra Truva atı uygulanmış bir şekilde meşru uygulamanın üzerine ekleniyor.
Bu bulaşma düzeninde kullanılan kötü amaçlı yazılım, kurbanın sistemlerini uzaktan kontrol etme yeteneğine sahip tam özellikli bir arka kapı özelliğine sahip bulunuyor. Saldırgan, sistemin kontrolünü ele geçirdikten sonra dosyaları silebiliyor, bilgi toplayabiliyor, belirli IP adreslerine bağlanabiliyor ve komuta kontrol sunucusuyla iletişim kurabiliyor. Lazarus'un saldırılarının geçmişine dayanarak, araştırmacılar bu operasyonun arkasındaki motivasyonun finansal kazanç olduğunu varsayıyor. Bu arka kapının işlevlerini inceledikten sonra Kaspersky araştırmacıları, Lazarus grubu tarafından kullanılan diğer araçlarla, CookieTime ve ThreatNeedle kötü amaçlı yazılım kümeleriyle çok sayıda benzerlik keşfetti. Çok aşamalı bulaşma şeması, Lazarus'un altyapısında da yoğun olarak kullanılıyor.
- "Bilinmeyen bağlantılar ve e-posta ekleri konusunda dikkatli olunmalı"
Açıklamada görüşlerine yer verilen Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT) Kıdemli Güvenlik Araştırmacısı Seongsu Park, Lazarus'un kripto para birimi endüstrisine olan ilgisini bir süredir gözlemlediklerini ve bulaşma sürecine dikkati çekmeden, kurbanlarını cezbetmek için karmaşık yöntemler geliştirdiklerini gördüklerini belirterek, şunları kaydetti:
"Kripto para birimi ve blok zinciri tabanlı sektörler, gelişmeye ve daha yüksek düzeyde yatırım çekmeye devam ediyor. Bu nedenle yalnızca dolandırıcıları ve kimlik avcılarını değil, aynı zamanda finansal olarak motive edilmiş APT grupları da dahil olmak üzere büyük oyuncuları da cezbediyorlar. Kripto para piyasasının büyümesiyle Lazarus'un bu sektöre olan ilgisinin yakın zamanda azalmayacağını düşünüyoruz. Yakın tarihli bir kampanyada Lazarus, meşru bir DeFi uygulamasını taklit ederek ve kripto avcılığında yaygın olarak kullanılan bir taktik olan kötü amaçlı yazılımları bırakarak durumu kötüye kullandı. Bu nedenle şirketleri, tanıdık ve güvenli görünseler bile bilinmeyen bağlantılar ve e-posta ekleri konusunda dikkatli olmaya çağırıyoruz."
Kaspersky araştırmacıları, bilinen veya bilinmeyen tehdit aktörlerinin hedefli saldırılarına maruz kalmamak için şunları öneriyor:
"Permimetrede veya ağın içinde keşfedilen zayıflıkları veya kötü niyetli öğeleri düzeltmek için ağlarda siber güvenlik denetimi yapılmalı ve sürekli olarak izlenmelidir. Hedefli saldırıların çoğu kimlik avı veya diğer sosyal mühendislik teknikleriyle başladığından, personele temel siber güvenlik hijyeni eğitimi verilmelidir. Çalışanlar yalnızca güvenilir kaynaklardan ve resmi uygulama mağazalarından yazılım ve mobil uygulamalar indirmeleri konusunda bilinçlendirilmelidir.
Olayların zamanında tespit edilmesini ve gelişmiş tehditlere yanıt verilmesini sağlamak için bir EDR ürünü kullanılmalıdır. Kaspersky Managed Detection and Response gibi hizmetler, hedefli saldırılara karşı tehdit avlama yetenekleri sağlar. Hesap hırsızlığını, habersiz işlemleri ve kara para aklamayı tespit edip önleyerek kripto para işlemlerini koruyabilen bir dolandırıcılık karşıtı çözüm benimsenmelidir."