Lazarus bağlantılı kripto hack'i, eski Animoca yöneticisinin hayat birikimlerini sildi

Kuzey Kore devlet destekli bir siber suç grubu olan Lazarus, eski bir Animoca Brands yöneticisinin kripto varlıklarının büyük bir bölümünün çalınmasıyla sonuçlanan bir kimlik avı saldırısıyla bağlantılı.

Şu anda Hypersphere Ventures'ta yatırım ortağı olan Mehdi Farooq, bilmeden sahte bir Zoom güncellemesi yükledikten sonra altı kripto para cüzdanının boşaltıldığını açıkladı.

Ayrıntılı dolandırıcılık, bu yıl bildirilen en karmaşık cüzdan boşaltma saldırılarından birini gerçekleştirmek için sosyal güveni, profesyonel ağları ve video konferans yazılımını kullandı.

Bilgisayar korsanları, Telegram ve Zoom aracılığıyla kişilerin kimliğine büründü

Kimlik avı planı, bilinen bir tanıdık olan Alex Lin gibi görünen birinden Farooq'a gönderilen bir Telegram mesajıyla başladı. Biraz ileri geri gittikten sonra, Farooq bir aramayı kabul etti ve bir toplantı planlamak için Calendly bağlantısını paylaştı.

Toplantının yapıldığı gün, aynı hesap tekrar mesaj attı ve görüşmeyi Zoom Business'a taşımak için uyumluluk nedenlerini öne sürdü. Farooq'a, bilinen başka bir endüstri bağlantısı olan Kent'in çağrıya katılacağı söylendi.

Zoom toplantısı meşru görünüyordu. Katılımcıların kameraları açıktı, ancak ses duyulamadı. Bunun yerine, toplantı sohbetinde teknik sorunlar olduğunu açıklayan ve Farooq'tan Zoom istemcisini güncellemesini isteyen bir mesaj göründü.

Kabul etti ve dosyayı yükledikten birkaç dakika sonra altı kripto cüzdanının tümü tehlikeye atıldı ve boşaltıldı.

Saldırganlar, Farooq'un sistemine erişmek için Zoom güncellemesi kılığına girmiş kötü amaçlı yazılım kullandı.

Kullanılan iletişim ve sosyal mühendislik teknikleri, son yıllarda çok sayıda yüksek değerli kripto hırsızlığıyla suçlanan tanınmış bir Kuzey Koreli bilgisayar korsanlığı birimi olan Lazarus Group ile bağlantılı önceki olaylarla uyumludur.

Lazarus, davranış kalıpları ve kötü amaçlı yazılım türü aracılığıyla bağlantı kurdu

Kimlik avı saldırısı, Lazarus operasyonlarının birkaç özelliğini taşıyordu. Bunlar, bilinen endüstri bağlantılarının kimliğine bürünmeyi, kötü amaçlı yazılım yüklü yükleyicilerin kullanımını ve video konferans platformlarının manipüle edilmesini içerir.

Bu durumda, saldırganlar sesi devre dışı bırakırken ikna edici bir video görüşmesi düzenlediler, bu da Farooq'u durumun meşruiyetini sorgulamaktan alıkoymuş olabilecek bir taktikti.

Farooq'un deneyimi, Manta Network'ün kurucu ortağı Kenny Li'yi hedef alan benzer bir kimlik avı girişiminden sadece haftalar sonra geldi. Bu durumda, saldırganlar aynı teknikleri kullandılar: sahte Zoom çağrıları, kimliğine bürünmüş kişiler ve kötü amaçlı yazılım indirme istemleri.

Li, başka bir iletişim platformuna geçmeyi önererek kurban olmaktan kaçındı ve bu noktada saldırganlar ortadan kayboldu.

Güvenlik araştırmacıları, bu koordineli saldırıların Lazarus'un yöntemlerini geliştirdiğini ve profesyoneller arasındaki güveni sömürmeye odaklandığını gösterdiğine inanıyor.

Her iki olayda da kullanılan kötü amaçlı yazılım, Lazarus'a atfedilen diğer saldırılarda, özellikle de analistler tarafından belirtilen "dangrouspassword" istismarında kullanılan koda çok benziyor.

Birden fazla kurucu, son haftalarda benzer taktikler bildiriyor

Farooq'a yapılan saldırı, kripto para birimi yöneticilerini ve geliştiricilerini hedef alan karmaşık kimlik avı kampanyalarının artan eğiliminin bir parçası.

Mon Protocol, Stable ve Devdock AI'nın kurucuları ve ekip üyeleri de kendilerini güvenliği ihlal edilmiş Zoom ortamlarına çekmeye çalışan şüpheli mesajlar aldıklarını bildirdiler.

11 Mart'ta Security Alliance'tan Nick Bax, X'teki bir gönderide Lazarus bağlantılı kimlik avı stratejisinin bir dökümünü paylaştı ve saldırganların uzaktan erişim araçları yüklemek ve kripto varlıklarını çalmak için video konferansla birlikte gerçek sosyal bağlantıları nasıl kullandıklarını özetledi.

Farooq, kaybın önemli olmasına rağmen, birkaç beyaz şapkalı bilgisayar korsanının ve kripto güvenlik topluluğunun üyelerinin, olanları takip etmesine yardımcı olmak için öne çıktığını paylaştı.

Çalınan fonlar henüz kurtarılmamış olsa da, olay, birden fazla platformda kimlikleri doğrulamanın ve video görüşmeleri sırasında istenen harici yazılım yüklemelerinden kaçınmanın önemini vurguladı.