Kripto Para

Lazarus grubu AppleJeus kripto para birimi saldırısını bir üst düzeye taşıdı

Lazarus grubu AppleJeus kripto para birimi saldırısını bir üst düzeye taşıdı


Kaspersky Global Araştırma ve Analiz Ekibi (GReAT) 2018’de, ünlü tehdit grubu Lazarus tarafından kripto para birimi çalmak için düzenlenenAppleJeus saldırısıyla ilgili bulgularınıpaylaşmıştı. Yeni elde edilen bulgular, saldırının çok daha dikkatli adımlar, gelişmiş taktikler ve prosedürlerle sürdüğünü gösteriyor. Saldırıda kullanılan vektörler arasında Telegram da yer alıyor. İngiltere, Polonya, Rusya ve Çin’de kripto para birimiyle iş yapan birçok kurum bu saldırıdan etkilendi.Lazarus günümüzün en aktif ve yaygın gelişmiş kalıcı tehdit (APT) gruplarından biri. Bu grup geçmişte kripto para birimleriyle ilgili kurumları hedef aldığı saldırılarla biliniyor. 2018’de düzenlenen ilk AppleJeus saldırısında grup, kötü amaçlı uygulamasını dağıtmak için sahte bir kripto para birimi şirketi oluşturmuş ve potansiyel kurbanlarının güveninden yararlanmıştı. Lazarus bu operasyonda kendi geliştirdiği ilk macOS zararlı yazılımını kullandı. Üçüncü taraf web sitelerinden indirilen bu uygulama, bir güncellemeyle zararlı bölümleri kuruyordu. Saldırganlar bu uygulama ile kullanıcının cihazını tamamen kontrol edip kripto para hırsızlığı yapabiliyordu.Kaspersky araştırmacıları devam eden operasyonda grubun saldırı taktiklerini önemli ölçüde değiştirdiğini keşfetti. 2019 saldırısındaki vektörler bazı ekstralarla birlikte bir önceki yıldakiyle benzerlik gösterdi. Lazarus bu sefer kripto para birimleriyle ilgili sahte web siteleri kurarak buralarda sahte kurumsal Telegram kanalları paylaştı. Zararlı yazılım da bu kanallar üzerinden dağıtıldı.
İlk AppleJeus operasyonunda olduğu gibi bu saldırı da iki aşamadan oluşuyordu. Kullanıcılar öncelikle uygulamayı indiriyor, ardından da uygulama bir sonraki parçayı bir uzak sunucudan alıp kuruyordu. Böylece saldırganlar kalıcı bir arka kapı üzerinden cihazın kontrolünü tamamen ellerine alabiliyorlardı. Ancak bu sefer, zararlı bölüm davranış tabanlı tespit çözümlerine yakalanmamak için daha dikkatli bir şekilde sunuldu. macOS tabanlı hedeflere yönelik saldırılarda, macOS dosya indiricisine bir de kimlik doğrulama mekanizması eklendi. Ayrıca yazılımın geliştirilme altyapısının değiştiği ve dosyasız bir bulaştırma yönteminin kullanıldığı belirlendi. Saldırganlar Windows kullanıcılarını hedef alırken Fallchill adlı zararlı yazılımı (ilk AppleJeus operasyonunda kullanılmıştı) kullanmaktan vazgeçerek yalnızca belirli kontrollerden geçebilen spesifik sistemlerde çalışan yeni bir zararlı yazılım geliştirdi. Bu değişiklikler saldırganların daha dikkatli olduğunu ve tespitten kaçınmak için yeni yöntemlere başvurduğunu gösterdi.
Lazarus ayrıca macOS zararlı yazılımında da önemli düzenlemeler yaparak bir dizi sürüm daha çıkardı. İlk saldırıda özel bir macOS dosya indiricisi kurmak için açık kaynaklı QtBitcoinTrader adlı aracı kullanan Lazarus, ikinci AppleJeus saldırısında ise bunun için kendi kodunu kullanmaya başladı. Bu gelişmeler, bu saldırı grubunun zararlı yazılımın macOS sürümü için yeni düzenlemeler yapmaya devam edeceğini ve yapılan son tespitlerin ara sonuçları olduğunu gösteriyor.
Kaspersky Güvenlik Araştırmacısı Seongsu Park, “İkinci AppleJeus operasyonu, kripto para piyasalarındaki büyük durgunluğa rağmen Lazarus’un bu alana yatırım yapmaya devam ettiğini ve saldırıları daha karmaşık hale getirdiğini gösteriyor.Zararlı yazılımda yapılan değişiklikler, bu saldırıların artarak daha da ciddi bir tehdit haline gelmeyeceğine inanmak için ortada hiçbir neden olmadığının kanıtı.” dedi.
Kuzey Kore ile ilişkili olan Lazarus grubu siber causluk ve siber sabotajın yanı sıra finansal gelir amaçlı karmaşık saldırılarıyla biliniyor. Kaspersky araştırmacıları da dahil olmak üzere çok sayıda araştırmacı bu grubun bankaları ve diğer büyük finans kuruluşlarını hedef aldığını raporladı.Kripto alanında faaliyet gösteren ve kendini bu tür saldırılardan korumak isteyen kurumlara şu önlemleri alması tavsiye ediliyor:Kimlik avı saldırısı denemelerini fark etmeleri için tüm çalışanlarınıza temel güvenlik farkındalığı eğitimi verin.Uygulama güvenliği değerlendirmesinden geçin. Böylece potansiyel müşterilerinize ne kadar güvenilir olduğunuzu gösterebilirsiniz.Akıllı sözleşme uygulama ortamlarındaki yeni açıkları takip edin.Kaspersky, kripto para birimleriyle iş yapan veya yapmayı düşünen tüketicilere şunları öneriyor:Yalnızca güvenilir ve bilindik kripto para birimi platformlarını kullanın.Sizi bir internet bankasına veya web cüzdanına yönlendiren bağlantılara tıklamayın.Birçok farklı tehdide karşı kapsamlı koruma sağlayan, Kaspersky Security Cloud gibi bir güvenlik çözümü kullanın.İkinci AppleJeus saldırısı hakkında daha fazlasını Securelist.com adresinden okuyabilirsiniz.

Kaspersky hakkında:
Kaspersky, 1997 yılında kurulan dünya çapında bir siber güvenlik şirketi. Kaspersky’nin derin tehdit istihbaratı ve güvenlik uzmanlığı, dünya genelindeki işletmeleri, önemli altyapıları, devletleri ve tüketicileri korumak için güvenlik çözümlerini ve hizmetlerini sürekli olarak dönüştürüyor. Şirketin kapsamı güvenlik portföyü, sofistike ve gelişen dijital tehditlerle savaşmak için önde gelen uç nokta korumasını ve bir dizi özel güvenlik çözümünü ve hizmetini içerir. 400 milyondan fazla kullanıcı Kaspersky teknolojileri tarafından korunuyor ve 270.000 kurumsal müşterinin kendileri en önemli varlıklarını korumasına yardımcı oluyoruz. Daha fazla bilgi için www.kaspersky.com adresini ziyaret edin.
Daha Fazla Göster

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu
Kapalı

Reklam Engelleyici Algılandı

Lütfen reklam engelleyici uygulamanızı kapatıp tekrar giriş yapmayı deneyiniz.