Kaspersky aรงฤฑklamasฤฑna gรถre, SnatchCrypto adlฤฑ hareket, kripto para birimlerini, akฤฑllฤฑ sรถzleลmeleri, DeFi, Blockchain ve FinTech endรผstrisini ve bunlarla ilgilenen รงeลitli ลirketleri hedef alฤฑyor.
BlueNoroff’un en son hareketinde saldฤฑrganlar, hedef ลirketlerin รงalฤฑลanlarฤฑnฤฑn gรผvenini “sรถzleลme” veya baลka bir iล dosyasฤฑ kisvesi altฤฑnda gรถzetim iลlevlerine sahip tam รถzellikli bir Windows arka kapฤฑsฤฑ gรถndererek suistimal ediyor.
Saldฤฑrganlar, kurbanlarฤฑn kripto cรผzdanฤฑnฤฑ boลaltmak iรงin karmaลฤฑk altyapฤฑ, aรงฤฑklardan yararlanma ve kรถtรผ amaรงlฤฑ yazฤฑlฤฑm implantlarฤฑndan oluลan kapsamlฤฑ ve tehlikeli kaynaklar geliลtirdi.
BlueNoroff, Lazarus grubunun bir parรงasฤฑ olarak รงeลitli yapฤฑlarฤฑnฤฑ ve geliลmiล saldฤฑrฤฑ teknolojilerini kullanฤฑyor. Lazarus APT grubu, bankalara ve SWIFT‘e baฤlฤฑ sunuculara yรถnelik saldฤฑrฤฑlarla tanฤฑnฤฑyor ve kripto para birimi yazฤฑlฤฑmฤฑnฤฑn geliลtirilmesi iรงin sahte ลirketlerin kurulmasฤฑyla uฤraลฤฑyor.
Aldatฤฑlan mรผลterilere sonrasฤฑnda yasal gรถrรผnen uygulamalar yรผklendi ve bir sรผre sonra arka kapฤฑdan gรผncellemeler iletildi. Ardฤฑndan kripto para birimi giriลimlerine yรถnelik saldฤฑrฤฑlar baลladฤฑ. Kripto para birimi iลletmelerinin รงoฤu kรผรงรผk veya orta รถlรงekli giriลimler olduฤundan iรง gรผvenlik sistemlerine รงok fazla yatฤฑrฤฑm yapamฤฑyor. Saldฤฑrgan bu zaafฤฑ deฤerlendiriyor ve ayrฤฑntฤฑlฤฑ sosyal mรผhendislik ลemalarฤฑ kullanarak bundan yararlanฤฑyor.
Saldฤฑrganlar haftalarca ve aylarca kurbanlarฤฑ takip ediyor
BlueNoroff, kurbanฤฑn gรผvenini kazanmak iรงin mevcut bir risk sermayesi ลirketi gibi davranฤฑyor. Kaspersky araลtฤฑrmacฤฑlarฤฑ, SnatchCrypto kampanyasฤฑ sฤฑrasฤฑnda marka adฤฑ ve รงalฤฑลan adlarฤฑnฤฑn kรถtรผye kullanฤฑldฤฑฤฤฑ 15’ten fazla giriลimi ortaya รงฤฑkardฤฑ.
Kaspersky uzmanlarฤฑ, ayrฤฑca, gerรงek ลirketlerin bu saldฤฑrฤฑ veya e-postalarla hiรงbir ilgisi olmadฤฑฤฤฑna inanฤฑyor. Yeni baลlayanlar genellikle tanฤฑdฤฑk olmayan kaynaklardan mektuplar veya dosyalar alabiliyor.
APT grubu, sistemleri enfekte etmek adฤฑna รงeลitli yรถntemlere sahip ve duruma gรถre รงeลitli enfeksiyon zincirlerini bir araya getiriyor. Saldฤฑrganlar, silaha dรถnรผลtรผrรผlmรผล Word belgelerinin yanฤฑ sฤฑra sฤฑkฤฑลtฤฑrฤฑlmฤฑล Windows kฤฑsayol dosyalarฤฑ biรงiminde gizlenmiล kรถtรผ amaรงlฤฑ yazฤฑlฤฑmlarฤฑ da yayฤฑyor. Kurbanฤฑn genel bilgileri daha sonra tam รถzellikli bir arka kapฤฑ oluลturan Powershell aracฤฑsฤฑna gรถnderiliyor. Bunu kullanarak BlueNoroff, kurbanฤฑ izlemek iรงin diฤer kรถtรผ amaรงlฤฑ araรงlarฤฑ olan bir keylogger ve ekran gรถrรผntรผsรผ alฤฑcฤฑsฤฑnฤฑ devreye sokuyor.
Ardฤฑndan saldฤฑrganlar, haftalarca ve aylarca kurbanlarฤฑ takip ediyor. Finansal hฤฑrsฤฑzlฤฑk iรงin strateji planlarken tuล vuruลlarฤฑnฤฑ topluyor ve kullanฤฑcฤฑnฤฑn gรผnlรผk iลlemlerini izliyor. Kripto cรผzdanlarฤฑnฤฑ yรถnetmek iรงin popรผler bir tarayฤฑcฤฑ uzantฤฑsฤฑ kullanan belirgin bir hedef bulduktan sonra (รถrneฤin Metamask uzantฤฑsฤฑ gibi), uzantฤฑnฤฑn ana bileลenini sahte bir sรผrรผmle deฤiลtiriyor.
Araลtฤฑrmacฤฑlara gรถre saldฤฑrganlar, bรผyรผk transferler keลfettiklerinde bir bildirim alฤฑyorlar. Gรผvenliฤi ihlal edilmiล kullanฤฑcฤฑ baลka bir hesaba bir miktar para aktarmaya รงalฤฑลtฤฑฤฤฑnda iลlem sรผrecini durdurup kendi aracฤฑlarฤฑnฤฑ enjekte ediyorlar. Baลlatฤฑlan รถdemeyi tamamlamak iรงin kullanฤฑcฤฑ “onayla” dรผฤmesini tฤฑkladฤฑฤฤฑnda, siber suรงlular alฤฑcฤฑnฤฑn adresini deฤiลtiriyor ve iลlem miktarฤฑnฤฑ en รผst dรผzeye รงฤฑkarฤฑyor. Bรถylece hesabฤฑ tek bir hamlede boลaltฤฑyor.
“Kripto para birimi hizmetlerinin iyi korunmasฤฑ gerekiyor”
Aรงฤฑklamada gรถrรผลlerine yer verilen Kaspersky Kรผresel Araลtฤฑrma ve Analiz Ekibi (GReAT) Kฤฑdemli Gรผvenlik Araลtฤฑrmacฤฑsฤฑ Seongsu Park, saldฤฑrganlarฤฑn sรผrekli olarak baลkalarฤฑnฤฑ kandฤฑrmak ve istismar etmek iรงin yeni yollar keลfederken, kรผรงรผk iลletmelerin รงalฤฑลanlarฤฑnฤฑ temel siber gรผvenlik uygulamalarฤฑ konusunda eฤitmesi gerektiฤini belirterek, “ลirketin kripto cรผzdanlarฤฑyla รงalฤฑลmasฤฑ รถzellikle รถnemlidir. Kripto para birimi hizmetlerini ve uzantฤฑlarฤฑnฤฑ kullanmanฤฑn yanlฤฑล bir tarafฤฑ yoktur ancak bunun hem APT hem de siber suรงlular iรงin รงekici bir hedef olduฤunu unutmayฤฑn. Bu nedenle, bu sektรถrรผn iyi korunmasฤฑ gerekiyor.” ifadelerini kullandฤฑ.
Kuruluลlarฤฑn kendini korunmasฤฑ iรงin Kaspersky, hedefli saldฤฑrฤฑlarฤฑn รงoฤu kimlik avฤฑ veya diฤer sosyal mรผhendislik teknikleriyle baลladฤฑฤฤฑndan personele temel siber gรผvenlik hijyeni eฤitimi verilmesini tavsiye etti.
Aฤlarฤฑn siber gรผvenlik denetiminin gerรงekleลtirilmesini, aฤ รงevresinde veya iรงinde keลfedilen tรผm zayฤฑflฤฑklarฤฑn dรผzeltilmesini รถneren Kaspersky uzmanlarฤฑ, ลunlarฤฑ kaydetti:
“Metamask kod tabanฤฑna รงok aลina deฤilseniz uzantฤฑnฤฑn enjeksiyonunu manuel olarak keลfetmek zordur. Ancak Chrome uzantฤฑsฤฑnda yapฤฑlan deฤiลiklik iz bฤฑrakฤฑr. Tarayฤฑcฤฑnฤฑn geliลtirici moduna geรงirilmesi ve Metamask uzantฤฑsฤฑnฤฑn รงevrim iรงi maฤaza yerine yerel bir dizinden yรผklenmesi gerekir. Eklenti maฤazadan geliyorsa Chrome, kod iรงin dijital imza doฤrulamasฤฑnฤฑ zorunlu kฤฑlar ve kod bรผtรผnlรผฤรผnรผ garanti eder. Bu nedenle ลรผpheniz varsa, hemen Metamask uzantฤฑnฤฑzฤฑ ve Chrome ayarlarฤฑnฤฑzฤฑ kontrol edin.
Anti-APT ve EDR รงรถzรผmlerini kurun. Bunlar tehdit keลfi ve tespiti, soruลturma ve olaylarฤฑn zamanฤฑnda dรผzeltilmesini mรผmkรผn kฤฑlar. SOC ekibinizin en son tehdit istihbaratฤฑna eriลimini saฤlayฤฑn ve profesyonel eฤitimlerle dรผzenli olarak becerilerini yรผkseltin. Yukarฤฑdakilerin tรผmรผ Kaspersky Expert Security framework kapsamฤฑnda mevcuttur. Uygun uรง nokta korumasฤฑnฤฑn yanฤฑ sฤฑra รถzel hizmetler yรผksek profilli saldฤฑrฤฑlara karลฤฑ yardฤฑmcฤฑ olabilir. Kaspersky Managed Detection and Response hizmeti, saldฤฑrganlar hedeflerine ulaลmadan รถnce saldฤฑrฤฑlarฤฑ erken aลamalarฤฑnda belirlemeye ve durdurmaya yardฤฑmcฤฑ olur.”
