SentinelLabs, siber güvenlik şirketi SentinelOne'ın tehdit araştırma ve istihbarat bölümü, Kuzey Koreli kötü aktörler tarafından macOS cihazlarını hedef alan NimDoor adlı yeni ve sofistike bir saldırı kampanyasını araştırdı.
Bu karmaşık plan, Web3 küçük işletmelerinde kullanılan cihazlara birçok saldırı dizisi yerleştirmek için Nim programlama dilinin kullanılmasını içermektedir, bu son zamanların trendidir.
Kendini ZachXBT olarak tanıtan bir araştırmacı, bu yetenekli hacker grubunun bir parçası olabilecek Koreli BT çalışanlarına yapılan bir dizi ödeme keşfetti.
Saldırı nasıl gerçekleştirildi?
SentinelLabs'ın detaylı raporu, Mac cihazlarına saldırmak için yeni ve karmaşık bir yöntem tanımlıyor.
Tanıdık bir şekilde başlamak: güvenilir bir kişi gibi davranarak bir toplantı planlamak için Calendly kullanın, ardından hedef kişi Zoom uygulamasının güncellenmesi için bir e-posta alacaktır.
Güncelleme betiği, kontrol edilen sunucudan yasal Zoom toplantı bağlantısına ikinci aşama betiğini almak ve çalıştırmak için işlev gören üç kötü amaçlı kod satırıyla sona eriyor.
Bağlantıya tıkladığınızda, iki Mac ikili dosyası otomatik olarak indirilecek ve bağımsız iki yürütme dizisi başlatılacaktır: ilk dosya genel sistem bilgilerini ve uygulamaya özgü verileri silecektir. İkinci dosya, saldırganın etkilenen makineye kalıcı erişim sağlayacağından emin olur.
Saldırı zinciri, Trojan aracılığıyla iki Bash betiği yüklenerek devam etti. Bir betik, belirli tarayıcılardan veri hedef alıyor: Arc, Brave, Firefox, Chrome ve Edge. Diğer betik, Telegram'ın şifrelenmiş verilerini çalar ve bu verileri çözmek için bir blob kullanır. Ardından, veriler kontrol edilen bir sunucuya çıkarılır.
Bu yaklaşımı benzersiz ve zorlu kılan şey, güvenlik analistleri için birden fazla kötü amaçlı yazılım bileşeni ve kötü amaçlı yazılımı sokma ve taklit etme için çeşitli tekniklerin kullanılmasıdır; bu da tespiti oldukça zor hale getirir.
Parayı takip et
ZachXBT, anonim bir blockchain araştırmacısı, yakın zamanda X'te (DPRK) farklı projelerde çalışan Kuzey Koreli (DPRK) birçok geliştiriciye yapılan büyük ödemelere dair en son bulgularını paylaştı.
Sekiz işçinin on iki farklı şirkette çalıştığını belirledi.
Beyefendinin keşfi, her ay Circle hesaplarından geliştiricilere ait adreslere 2,76 milyon USDC gönderildiğini göstermektedir. Bu adresler, 2023 yılında Tether tarafından kara listeye alınan bir adrese oldukça yakın, çünkü suçlamalara göre komplocu Sim Hyon Sop ile ilişkilidir.
Zach hala benzer adres gruplarını izlemeye devam ediyor, ancak bunlar hala aktif olduğu için herhangi bir bilgi açıklamadı.
Bu işçilerin sözleşme mülkiyetini elinde tutması durumunda, temel projenin yüksek risk altında olacağı konusunda uyarıda bulundu.
"Bir grubun birçok DPRK ITW (BT çalışanı )tutması, yeni girişimin başarısız olacağına dair makul bir gösterge olduğunu düşünüyorum. Diğer endüstri tehditlerinden farklı olarak, bu çalışanların daha az incelikleri var, bu nedenle esasen grubun kendi dikkatsizliğinin bir sonucudur."
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Dikkatli Olun! Kuzey Koreli Hackerlar Mac Kullanıcılarını Çok Yaratıcı Bir Şekilde Hedef Alıyor
SentinelLabs, siber güvenlik şirketi SentinelOne'ın tehdit araştırma ve istihbarat bölümü, Kuzey Koreli kötü aktörler tarafından macOS cihazlarını hedef alan NimDoor adlı yeni ve sofistike bir saldırı kampanyasını araştırdı. Bu karmaşık plan, Web3 küçük işletmelerinde kullanılan cihazlara birçok saldırı dizisi yerleştirmek için Nim programlama dilinin kullanılmasını içermektedir, bu son zamanların trendidir. Kendini ZachXBT olarak tanıtan bir araştırmacı, bu yetenekli hacker grubunun bir parçası olabilecek Koreli BT çalışanlarına yapılan bir dizi ödeme keşfetti. Saldırı nasıl gerçekleştirildi? SentinelLabs'ın detaylı raporu, Mac cihazlarına saldırmak için yeni ve karmaşık bir yöntem tanımlıyor. Tanıdık bir şekilde başlamak: güvenilir bir kişi gibi davranarak bir toplantı planlamak için Calendly kullanın, ardından hedef kişi Zoom uygulamasının güncellenmesi için bir e-posta alacaktır. Güncelleme betiği, kontrol edilen sunucudan yasal Zoom toplantı bağlantısına ikinci aşama betiğini almak ve çalıştırmak için işlev gören üç kötü amaçlı kod satırıyla sona eriyor. Bağlantıya tıkladığınızda, iki Mac ikili dosyası otomatik olarak indirilecek ve bağımsız iki yürütme dizisi başlatılacaktır: ilk dosya genel sistem bilgilerini ve uygulamaya özgü verileri silecektir. İkinci dosya, saldırganın etkilenen makineye kalıcı erişim sağlayacağından emin olur. Saldırı zinciri, Trojan aracılığıyla iki Bash betiği yüklenerek devam etti. Bir betik, belirli tarayıcılardan veri hedef alıyor: Arc, Brave, Firefox, Chrome ve Edge. Diğer betik, Telegram'ın şifrelenmiş verilerini çalar ve bu verileri çözmek için bir blob kullanır. Ardından, veriler kontrol edilen bir sunucuya çıkarılır. Bu yaklaşımı benzersiz ve zorlu kılan şey, güvenlik analistleri için birden fazla kötü amaçlı yazılım bileşeni ve kötü amaçlı yazılımı sokma ve taklit etme için çeşitli tekniklerin kullanılmasıdır; bu da tespiti oldukça zor hale getirir. Parayı takip et ZachXBT, anonim bir blockchain araştırmacısı, yakın zamanda X'te (DPRK) farklı projelerde çalışan Kuzey Koreli (DPRK) birçok geliştiriciye yapılan büyük ödemelere dair en son bulgularını paylaştı. Sekiz işçinin on iki farklı şirkette çalıştığını belirledi. Beyefendinin keşfi, her ay Circle hesaplarından geliştiricilere ait adreslere 2,76 milyon USDC gönderildiğini göstermektedir. Bu adresler, 2023 yılında Tether tarafından kara listeye alınan bir adrese oldukça yakın, çünkü suçlamalara göre komplocu Sim Hyon Sop ile ilişkilidir. Zach hala benzer adres gruplarını izlemeye devam ediyor, ancak bunlar hala aktif olduğu için herhangi bir bilgi açıklamadı. Bu işçilerin sözleşme mülkiyetini elinde tutması durumunda, temel projenin yüksek risk altında olacağı konusunda uyarıda bulundu. "Bir grubun birçok DPRK ITW (BT çalışanı )tutması, yeni girişimin başarısız olacağına dair makul bir gösterge olduğunu düşünüyorum. Diğer endüstri tehditlerinden farklı olarak, bu çalışanların daha az incelikleri var, bu nedenle esasen grubun kendi dikkatsizliğinin bir sonucudur."