1,4 milyar dolarlık Bybit soygununun arkasındaki Kuzey Koreli bilgisayar korsanları kripto geliştiricilerine nasıl saldırıyor?

Kuzey Koreli bir bilgisayar korsanlığı grubu, kurbanın sistemine bilgi çalan kötü amaçlı yazılım enjekte ederek yeni bir iş bulma dolandırıcılığı yoluyla kripto para geliştiricilerini hedef alıyor.

Siber güvenlik firması Palo Alto Networks'ün 42. Birimi'nin yakın zamanda yayınladığı bir rapora göre; Slow Pisces, Jade Sleet, PUKCHONG, TraderTraitor veya UNC4899 gibi takma adlarla bilinen kötü niyetli bilgisayar korsanı grubu, LinkedIn'de kendilerine işe alım uzmanı süsü veriyor.

Bağlantı kurulduktan sonra geliştiriciler sahte iş teklifleriyle kandırılıyor ve ardından rutin bir kodlama testi gerçekleştiriliyor.

Ancak GitHub'da barındırılan bu projelerin içinde, kurbanın makinesine sessizce bulaşan bir hırsız kötü amaçlı yazılım araç takımı gizlidir.

Başlangıçta adaylardan, basit bir programlama görevi gibi görünen bir dosyayı çalıştırmaları isteniyor; ancak bu dosya, kurbanın sisteminde çalıştırıldığında, sistem bilgilerini saldırgana geri gönderen RN Loader adlı bir kötü amaçlı yazılımı çalıştırıyor.

Hedef kontrol edilirse, SSH anahtarlarından iCloud verilerine, Kubernetes ve AWS yapılandırma dosyalarına kadar her şeyi toplayabilen ikinci aşama yükü RN Stealer dağıtılır.

Bu kampanyayı özellikle tehlikeli kılan şey, kötü amaçlı yazılımın yalnızca IP adresi veya sistem ayarları gibi belirli koşullar altında etkinleşmesi ve bu nedenle araştırmacıların tespit etmesinin zorlaşması nedeniyle gizli yapısıdır.

Ayrıca tamamen bellekte çalıştığı için çok az dijital ayak izi bırakıyor.

Slow Pisces, bu yılın başlarında gerçekleşen 1,4 milyar dolarlık Bybit saldırısı da dahil olmak üzere, dikkat çeken hırsızlıklarla ilişkilendirildi.

Grubun taktikleri zaman içinde çok fazla değişmedi; Birim 42, bunun yöntemlerinin ne kadar başarılı ve hedef odaklı olmasından kaynaklanabileceğini söylüyor.

Unit 42'de Tehdit İstihbaratı Kıdemli Direktörü Andy Piazza'ya göre, "Bybit saldırısından önce, açık kaynaklı kampanya hakkında çok az detaylı farkındalık ve raporlama vardı, dolayısıyla tehdit aktörlerinin değişime ihtiyaç duymamış olması mümkün."

Araştırmacılara göre tehdit aktörleri operasyonel güvenliklerini bile artırdılar ve kötü amaçlı komutları gizlemek için YAML ve JavaScript şablonlama hilelerini kullandıkları görüldü.

Güvenlik araştırmacısı Prashil Pattni, "Geniş kapsamlı kimlik avı kampanyalarının aksine, LinkedIn üzerinden iletişim kurulan bireylere odaklanmak, grubun kampanyanın sonraki aşamalarını sıkı bir şekilde kontrol etmesine ve yükleri yalnızca beklenen kurbanlara iletmesine olanak tanıyor" dedi.

Kuzey Koreli bilgisayar korsanları BT uzmanlarını hedef alıyor

Kuzey Koreli bilgisayar korsanları, kripto sektöründeki en büyük siber soygunların bazılarından sorumlu.

Arkham Intelligence'ın verilerine göre, Kuzey Kore'nin Lazarus Grubu'na bağlı bir cüzdanda, raporlama sırasında 800 milyon dolar değerinde Bitcoin bulunuyordu.

Google Tehdit İstihbarat Grubu'nun bu ayın başlarında yayınladığı bir raporda, özellikle Avrupa genelinde teknoloji ve kripto şirketlerine sızan Kuzey Koreli BT çalışanlarının sayısında artış olduğu belirtildi.

Geçtiğimiz yıl Invezz, Sapphire Sleet ve Ruby Sleet takma adlı iki bilgisayar korsanı grubunun kripto alanında önemli kayıplara yol açtığını bildirmişti.

Kötü niyetli kişilerin, ilk güvenlik kontrollerini atlatmak ve kötü amaçlı yazılım yerleştirmek için hedef şirketlerin işe alım uzmanlarını, yatırımcılarını ve hatta çalışanlarını taklit ettiği tespit edildi.

Sapphire Sleet'in kripto şirketlerine yoğunlaştığı ve altı ay içinde Kuzey Kore rejimine en az 10 milyon dolar aktarmayı başardığı bildirildi.