Lazarus Group ile ilişkili olduğundan şüphelenilen Kuzey Koreli bilgisayar korsanlarının hedefinde bu sefer kripto para borsa platformlarında yer alan Blockchain mühendisleri vardı. Korsanlar, bunun için Kandykorn adlı yeni bir macOS kötü amaçlı yazılımı kullanıyor.
Kripto para güvenlik uzmanları istismarı tespit etti ve tahlilini yaptı
Elastic Security Labs’in REF7001 olarak izlediği bu saldırı, macOS sistemlerine ilk erişim ve sonrasında sızma elde etmek için özel ve açık kaynak yeteneklerinin bir kombinasyonunu kullanıyor. Güvenlik uzmanları bugün yayınladıkları bir tavsiye yazısında, saldırının saldırganların halka açık bir Discord sunucusunda Blockchain mühendisliği topluluğunun üyelerini taklit ederek kurbanları kötü amaçlı kod içeren bir ZIP arşivini indirmeye ve açmaya ikna etmesiyle başladığını söylüyor. Kurbanlar, kripto para kur farklılıklarından kar elde etmek için bir arbitraj botu yüklediklerini sanıyorlar. REF7001’in yürütme akışı beş aşamadan oluşuyor:
- İlk Uzlaşma: Korsanlar, Watcher.py adlı bir Python uygulamasını bir arbitraj botu olarak kamufle ediyor. Sonra, “Cross-Platform Bridges.zip” başlıklı bir .zip dosyası içinde dağıtıyor.
- Dropper: TestSpeed.py ve FinderTools, Sugarloader’ı indirip çalıştırmak için ara komut dosyaları olarak kullanılıyor.
- Payload: Gizli ikili olan Sugarloader’ı ilk erişim ve son aşama olan Kandykorn için yükleyici olarak kullanıyorlar.
- Loader: Meşru Discord uygulaması gibi görünen bir ‘payload’ olan Hloader, Sugarloader’ı yüklemek için bir kalıcılık mekanizması olarak kullanılıyor.
- Payload: İzinsiz girişin son aşaması olan Kandykorn devreye giriyor. Böylece, veri erişimi ve dışarı sızma için tam özellikli bir dizi yetenek sağlıyor .Bu şekilde kripto para borsa platformlarının kullanıcılarını ulaşıyorlar.
Elliptic raporu ne diyor?
Bir Blockchain güvenlik firması olan Elliptic, Lazarus grubunun son 104 gün içinde Atomic Wallet, CoinsPaid, Alphapo ve Stake(dot)com gibi büyük hack’ler aracılığıyla 240 Milyon dolar kripto para çaldığını belirtti. Çoğunlukla, kripto karıştırıcıların bilgisayar korsanlarının çaldığı fonların kaynağını ve hedefini gizlemek için kullanıldığını belirtti. Axie Infinity’nin Ronin Köprüsü ve Harmony’nin Horizon Köprüsü, Lazarus ile bağlantılı olan 2022’nin iki rezil hacki oldu. Kriptokoin.com’dan takip ettiğiniz üzere, her iki saldırı da yılın ilk yarısında gerçekleşti. Haziran’a kadar, Lazarus kamuya açık olarak herhangi bir önemli kripto soygunuyla bağlantılı değildi.
Kripto para ödeme şirketi CoinsPaid’in güvenlik duvarını bilgisayar korsanları aşmayı başardı. Bu saldırıda hacker’lar 37,3 milyon dolarlık varlığı çaldı. Tespitlere göre hacker, CoinsPaid’in sistemlerini altı ay boyunca izledi ve inceledi. Sonuçta, erişim sağlamak için kimlik avı, sosyal mühendislik ve kaba kuvvet gibi çeşitli taktikler denedi. Bu tür saldırılar, benimsenmeyi olumsuz etkileyerek sektörün büyümesini yavaşlatıyor. Bu yüzden, kripto paraların önemli ölçüde benimsendiği tüm ülkelerin, meşruiyetini tesis etmek için bu alanın benimsenmesine yönelik güçlü ve adil yasal çerçeveler geliştirme çabalarını artırmaları gerekiyor.
