Kaspersky, kripto paraya yönelik saldırılarda yeni bulgulara ulaştı

- Kaspersky Güvenlik Araştırmacısı Seongsu Park: - "Zararlı yazılımda yapılan değişiklikler, bu saldırıların artarak daha da ciddi bir tehdit haline gelmeyeceğine inanmak için ortada hiçbir neden olmadığının kanıtı"

09.01.2020 - 14:49 Yayınlanma

Kaspersky, kripto paraya yönelik saldırılarda yeni bulgulara ulaştı

İSTANBUL (AA) - Kaspersky araştırmacıları, tehdit grubu Lazarus'un, AppleJeus kripto para birimi saldırısını bir üst düzeye taşıdığını tespit etti.

Şirket açıklamasına göre, Kaspersky Global Araştırma ve Analiz Ekibi, geçen yıl, tehdit grubu Lazarus tarafından kripto para birimi çalmak için düzenlenen AppleJeus saldırısıyla ilgili bulgularını paylaşmıştı.

Yeni elde edilen bulgular, saldırının çok daha dikkatli adımlar, gelişmiş taktikler ve prosedürlerle sürdüğünü gösteriyor. Saldırıda kullanılan vektörler arasında Telegram da yer alıyor. İngiltere, Polonya, Rusya ve Çin'de kripto para birimiyle iş yapan birçok kurum bu saldırıdan etkilendi.

Lazarus, günümüzün en aktif ve yaygın gelişmiş kalıcı tehdit (APT) gruplarından biri olarak öne çıkıyor. Bu grup, geçmişte kripto para birimleriyle ilgili kurumları hedef aldığı saldırılarla biliniyor.

Geçen yıl düzenlenen ilk AppleJeus saldırısında grup, kötü amaçlı uygulamasını dağıtmak için sahte bir kripto para birimi şirketi oluşturmuş ve potansiyel kurbanlarının güveninden yararlanmıştı.

Lazarus, bu operasyonda kendi geliştirdiği ilk macOS zararlı yazılımını kullandı. Üçüncü taraf web sitelerinden indirilen bu uygulama, bir güncellemeyle zararlı bölümleri kuruyordu. Saldırganlar, bu uygulama ile kullanıcının cihazını tamamen kontrol edip kripto para hırsızlığı yapabiliyordu.

Kaspersky araştırmacıları, devam eden operasyonda grubun saldırı taktiklerini önemli ölçüde değiştirdiğini keşfetti. 2019 saldırısındaki vektörler, bazı ekstralarla birlikte 2018'dekiyle benzerlik gösterdi. Lazarus, bu sefer kripto para birimleriyle ilgili sahte web siteleri kurarak buralarda sahte kurumsal Telegram kanalları paylaştı. Zararlı yazılım da bu kanallar üzerinden dağıtıldı.

İlk AppleJeus operasyonunda olduğu gibi bu saldırı da iki aşamadan oluşuyordu. Kullanıcılar öncelikle uygulamayı indiriyor, ardından da uygulama bir sonraki parçayı bir uzak sunucudan alıp kuruyordu. Böylece saldırganlar, kalıcı bir arka kapı üzerinden cihazın kontrolünü tamamen ellerine alabiliyorlardı. Ancak bu sefer, zararlı bölüm davranış tabanlı tespit çözümlerine yakalanmamak için daha dikkatli bir şekilde sunuldu. macOS tabanlı hedeflere yönelik saldırılarda, macOS dosya indiricisine bir de kimlik doğrulama mekanizması eklendi.

Ayrıca, yazılımın geliştirilme altyapısının değiştiği ve dosyasız bir bulaştırma yönteminin kullanıldığı belirlendi. Saldırganlar, Windows kullanıcılarını hedef alırken, "Fallchill" adlı zararlı yazılımı kullanmaktan vazgeçerek yalnızca belirli kontrollerden geçebilen, spesifik sistemlerde çalışan yeni bir zararlı yazılım geliştirdi.

Bu değişiklikler, saldırganların daha dikkatli olduğunu ve tespitten kaçınmak için yeni yöntemlere başvurduğunu gösterdi.

Lazarus ayrıca, macOS zararlı yazılımında da önemli düzenlemeler yaparak bir dizi sürüm daha çıkardı.

İlk saldırıda özel bir macOS dosya indiricisi kurmak için açık kaynaklı QtBitcoinTrader adlı aracı kullanan Lazarus, ikinci AppleJeus saldırısında ise bunun için kendi kodunu kullanmaya başladı. Bu gelişmeler, bu saldırı grubunun zararlı yazılımın macOS sürümü için yeni düzenlemeler yapmaya devam edeceğini ve yapılan son tespitlerin ara sonuçları olduğunu gösteriyor.

- "Saldırılar daha karmaşık hale geldi"

Açıklamada görüşlerine yer verilen Kaspersky Güvenlik Araştırmacısı Seongsu Park, ikinci AppleJeus operasyonunun kripto para piyasalarındaki büyük durgunluğa rağmen Lazarus'un bu alana yatırım yapmaya devam ettiğini ve saldırıları daha karmaşık hale getirdiğini gösterdiğini belirterek, "Zararlı yazılımda yapılan değişiklikler, bu saldırıların artarak daha da ciddi bir tehdit haline gelmeyeceğine inanmak için ortada hiçbir neden olmadığının kanıtı." ifadesini kullandı.

Kuzey Kore ile ilişkili olan Lazarus grubu, siber casusluk ve siber sabotajın yanı sıra finansal gelir amaçlı karmaşık saldırılarıyla biliniyor. Kaspersky araştırmacıları da dahil olmak üzere çok sayıda araştırmacı, bu grubun bankaları ve diğer büyük finans kuruluşlarını hedef aldığını raporladı.

Kaspersky, kripto para birimleriyle iş yapan veya yapmayı düşünen tüketicilere şu önerilerde bulundu:

"Yalnızca güvenilir ve bilindik kripto para birimi platformlarını kullanın. Sizi bir internet bankasına veya web cüzdanına yönlendiren bağlantılara tıklamayın. Birçok farklı tehdide karşı kapsamlı koruma sağlayan Kaspersky Security Cloud gibi bir güvenlik çözümü kullanın."