Lazarus Group ile alakalı olduğundan şüphelenilen Kuzey Koreli bilgisayar korsanlarının gayesinde bu sefer kripto para borsa platformlarında yer alan Blockchain mühendisleri vardı. Korsanlar, bunun için Kandykorn isimli yeni bir macOS makûs hedefli yazılımı kullanıyor.
Kripto para güvenlik uzmanları istismarı tespit etti ve analizini yaptı
Elastic Security Labs’in REF7001 olarak izlediği bu atak, macOS sistemlerine birinci erişim ve sonrasında sızma elde etmek için özel ve açık kaynak yeteneklerinin bir kombinasyonunu kullanıyor. Güvenlik uzmanları bugün yayınladıkları bir tavsiye yazısında, atağın saldırganların halka açık bir Discord sunucusunda Blockchain mühendisliği topluluğunun üyelerini taklit ederek kurbanları makûs emelli kod içeren bir ZIP arşivini indirmeye ve açmaya ikna etmesiyle başladığını söylüyor. Kurbanlar, kripto para kur farklılıklarından kar elde etmek için bir arbitraj botu yüklediklerini sanıyorlar. REF7001’in yürütme akışı beş etaptan oluşuyor:
- İlk Uzlaşma: Korsanlar, Watcher.py isimli bir Python uygulamasını bir arbitraj botu olarak kamufle ediyor. Sonra, “Cross-Platform Bridges.zip” başlıklı bir .zip evrakı içinde dağıtıyor.
- Dropper: TestSpeed.py ve FinderTools, Sugarloader’ı indirip çalıştırmak için orta komut belgeleri olarak kullanılıyor.
- Payload: Bilinmeyen ikili olan Sugarloader’ı birinci erişim ve son basamak olan Kandykorn için yükleyici olarak kullanıyorlar.
- Loader: Yasal Discord uygulaması üzere görünen bir ‘payload’ olan Hloader, Sugarloader’ı yüklemek için bir kalıcılık sistemi olarak kullanılıyor.
- Payload: Müsaadesiz girişin son etabı olan Kandykorn devreye giriyor. Böylelikle, data erişimi ve dışarı sızma için tam özellikli bir dizi yetenek sağlıyor .Bu formda kripto para borsa platformlarının kullanıcılarını ulaşıyorlar.
Elliptic raporu ne diyor?
Bir Blockchain güvenlik firması olan Elliptic, Lazarus kümesinin son 104 gün içinde Atomic Wallet, CoinsPaid, Alphapo ve Stake(dot)com üzere büyük hack’ler aracılığıyla 240 Milyon dolar kripto para çaldığını belirtti. Çoğunlukla, kripto karıştırıcıların bilgisayar korsanlarının çaldığı fonların kaynağını ve gayesini gizlemek için kullanıldığını belirtti. Axie Infinity’nin Ronin Köprüsü ve Harmony’nin Horizon Köprüsü, Lazarus ile ilişkili olan 2022’nin iki rezil hacki oldu. Btcpiyasasi.com’dan takip ettiğiniz üzere, her iki taarruz da yılın birinci yarısında gerçekleşti. Haziran’a kadar, Lazarus kamuya açık olarak rastgele bir kıymetli kripto soygunuyla ilişkili değildi.
Kripto para ödeme şirketi CoinsPaid’in güvenlik duvarını bilgisayar korsanları aşmayı başardı. Bu taarruzda hacker’lar 37,3 milyon dolarlık varlığı çaldı. Tespitlere nazaran hacker, CoinsPaid’in sistemlerini altı ay boyunca izledi ve inceledi. Sonuçta, erişim sağlamak için kimlik avı, toplumsal mühendislik ve kaba kuvvet üzere çeşitli taktikler denedi. Bu cins taarruzlar, benimsenmeyi olumsuz etkileyerek kesimin büyümesini yavaşlatıyor. Bu yüzden, kripto paraların kıymetli ölçüde benimsendiği tüm ülkelerin, meşruiyetini tesis etmek için bu alanın benimsenmesine yönelik güçlü ve adil yasal çerçeveler geliştirme eforlarını artırmaları gerekiyor.