BlueNoroff tehdit merkezi, kripto para ünitesi teşebbüslerinin hesaplarını boşaltıyor

Kaspersky uzmanları, gelişmiş kalıcı tehdit (APT) merkezi BlueNoroff’un dünya çapındaki küçük ve orta ölçekli şirketlere yönelik büyük kripto para ünitesi kayıplarına yol açan akınlarını ortaya çıkardı. SnatchCrypto isimli hareket, kripto para ünitelerini, akıllı mukaveleleri, DeFi, Blockchain ve FinTech sanayisini ve bunlarla ilgilenen çeşitli şirketleri amaç alıyor.

BlueNoroff’un en son hareketinde saldırganlar, gaye şirketlerin çalışanlarının inancını “sözleşme” yahut öteki bir iş evrakı kisvesi altında nezaret fonksiyonlarına sahip tam özellikli bir Windows art kapısı göndererek suistimal ediyor. Saldırganlar kurbanların kripto cüzdanını boşaltmak için karmaşık altyapı, açıklardan yararlanma ve berbat maksatlı yazılım implantlarından oluşan kapsamlı ve tehlikeli kaynaklar geliştirdi.

BlueNoroff, Lazarus kümesinin bir kesimi olarak çeşitli yapılarını ve gelişmiş atak teknolojilerini kullanıyor. Lazarus APT kümesi, bankalara ve SWIFT’e bağlı sunuculara yönelik taarruzlarla tanınıyor ve kripto para ünitesi yazılımının geliştirilmesi için geçersiz şirketlerin kurulmasıyla uğraşıyor. Aldatılan müşterilere sonrasında yasal görünen uygulamalar yüklendi ve bir müddet sonra art kapıdan güncellemeler iletildi. Akabinde kripto para ünitesi teşebbüslerine yönelik akınlar başladı. Kripto para ünitesi işletmelerinin birden fazla küçük yahut orta ölçekli teşebbüsler olduğundan, iç güvenlik sistemlerine çok fazla yatırım yapamıyor. Saldırgan bu zaafı pahalandırıyor ve detaylı toplumsal mühendislik şemaları kullanarak bundan yararlanıyor.

BlueNoroff, kurbanın inancını kazanmak için mevcut bir risk sermayesi şirketi üzere davranıyor. Kaspersky araştırmacıları, SnatchCrypto kampanyası sırasında marka ismi ve çalışan isimlerinin berbata kullanıldığı 15’ten fazla teşebbüsü ortaya çıkardı. Kaspersky uzmanları ayrıyeten gerçek şirketlerin bu akın yahut e-postalarla hiçbir ilgisi olmadığına inanıyor. Yeni başlayanlar ekseriyetle tanıdık olmayan kaynaklardan mektuplar yahut evraklar alır. Örneğin, bir teşebbüs şirketi onlara bir kontrat yahut işle ilgili öteki belgeleri gönderir. APT oyuncusu, kurbanların ekteki makro-etkin belgeyi açmasını sağlamak için bunu bir yem olarak kullanır.

Evrak çevrimdışı açılacak olsaydı, evrak tehlikeli bir şey söz etmeyecekti. Büyük olasılıkla bir cins kontratın yahut öteki bir zararsız dokümanın bir kopyası üzere görünecekti. Lakin, evrak açılırken bilgisayar internete bağlıysa, kurbanın aygıtına makro aktif öbür bir doküman gönderilerek berbat hedefli yazılım dağıtılıyor.

Bu APT kümesi, sistemleri enfekte etmek ismine çeşitli sistemlere sahip ve duruma nazaran çeşitli enfeksiyon zincirlerini bir ortaya getiriyor. Saldırganlar silaha dönüştürülmüş Word dokümanlarının yanı sıra, sıkıştırılmış Windows kısayol belgeleri biçiminde gizlenmiş berbat hedefli yazılımları da yayıyor. Kurbanın genel bilgileri daha sonra tam özellikli bir art kapı oluşturan Powershell aracısına gönderiliyor. Bunu kullanarak BlueNoroff, kurbanı izlemek için öbür berbat emelli araçları olan bir keylogger ve ekran manzarası alıcısını devreye sokuyor.

Akabinde saldırganlar haftalarca ve aylarca kurbanları takip ediyor: Finansal hırsızlık için strateji planlarken tuş vuruşlarını topluyor ve kullanıcının günlük süreçlerini izliyor. Kripto cüzdanlarını yönetmek için tanınan bir tarayıcı uzantısı kullanan bariz bir maksat bulduktan sonra (örneğin Metamask uzantısı gibi), uzantının ana bileşenini geçersiz bir sürümle değiştiriyor.

Araştırmacılara nazaran saldırganlar büyük transferler keşfettiklerinde bir bildirim alıyorlar. Güvenliği ihlal edilmiş kullanıcı öteki bir hesaba bir ölçü para aktarmaya çalıştığında, süreç sürecini durdurup kendi aracılarını enjekte ediyorlar. Başlatılan ödemeyi tamamlamak için kullanıcı “onayla” düğmesini tıkladığında, siber hatalılar alıcının adresini değiştiriyor ve süreç ölçüsünü en üst seviyeye çıkarıyor. Böylelikle hesabı tek bir atakta boşaltıyor.

Kaspersky Global Araştırma ve Tahlil Takımı (GReAT) Kıdemli Güvenlik Araştırmacısı Seongsu Park, şunları söylüyor: “Saldırganlar daima olarak diğerlerini kandırmak ve istismar etmek için yeni yollar keşfederken, küçük işletmeler çalışanlarını temel siber güvenlik uygulamaları konusunda eğitmeli. Şirketin kripto cüzdanlarıyla çalışması bilhassa değerlidir. Kripto para ünitesi hizmetlerini ve uzantılarını kullanmanın yanlış bir tarafı yoktur, lakin bunun hem APT hem de siber hatalılar için cazibeli bir maksat olduğunu unutmayın. Bu nedenle, bu kesimin yeterli korunması gerekiyor.”

BlueNoroff hakkındaki raporun tamamını Securelist’te okuyabilirsiniz.

Kuruluşların kendini korunması için Kaspersky aşağıdakileri öneriyor:

• Gayeli atakların birden fazla kimlik avı yahut öbür toplumsal mühendislik teknikleriyle başladığından, çalışanınıza temel siber güvenlik hijyeni eğitimi verin.
• Ağlarınızın siber güvenlik kontrolünü gerçekleştirin ve ağ etrafında yahut içinde keşfedilen tüm zayıflıkları düzeltin.
• Metamask kod tabanına çok aşina değilseniz, uzantının enjeksiyonunu manuel olarak keşfetmek zordur. Lakin Chrome uzantısında yapılan değişiklik iz bırakır. Tarayıcının Geliştirici Moduna geçirilmesi ve Metamask uzantısının çevrimiçi mağaza yerine lokal bir dizinden yüklenmesi gerekir. Eklenti mağazadan geliyorsa Chrome, kod için dijital imza doğrulamasını mecburî kılar ve kod bütünlüğünü garanti eder. Bu nedenle, kuşkunuz varsa, çabucak Metamask uzantınızı ve Chrome ayarlarınızı denetim edin.
• Anti-APT ve EDR tahlillerini kurun. Bunlar tehdit keşfi ve tespiti, soruşturma ve olayların vaktinde düzeltilmesini mümkün kılar. SOC grubunuzun en son tehdit istihbaratına erişimini sağlayın ve profesyonel eğitimlerle nizamlı olarak hünerlerini yükseltin. Üsttekilerin tümü Kaspersky Expert Security framework kapsamında mevcuttur.
• Uygun uç nokta muhafazasının yanı sıra, özel hizmetler yüksek profilli taarruzlara karşı yardımcı olabilir. Kaspersky Managed Detection and Response hizmeti, saldırganlar gayelerine ulaşmadan evvel, hücumları erken kademelerinde belirlemeye ve durdurmaya yardımcı olur.

Kaynak: (BHA) – Beyaz Haber Ajansı