Kuzey Kore merkezli siber suç grubu Lazarus ile ilişkili olduğuna inanılan bilgisayar korsanları, kripto para birimi şirketi deBridge Finance’ı hedef alarak başka bir dijital soygun girişiminde bulundu.
Bleeping Computer tarafından bildirildiği üzere deBridge, birden fazla blockchain platformu arasında “verilerin ve varlıkların merkezi olmayan transferine izin veren bir transfer protokolü” olarak çalışıyor. Tek başına bu gerçek bile Lazarus’un, şirketi en son hedefi haline getirmesi için yeterli sebep.
İhlal, çalışanlara bir kimlik avı e-postası gönderilerek denendi. deBridge Finance çalışanları bu e-postayı şirketin kurucu ortağı Alex Smirnov’u taklit eden bilgisayar korsanlarından geçtiğimiz hafta aldı. E-posta, bir HTML dosyası aracılığıyla “yeni maaş ayarlamaları” hakkında sahte ayrıntılar içeriyordu. E-posta açılırsa, sisteme kötü amaçlı yazılım bulaştıracak ve ardından ağdaki Windows destekli cihazlardan hassas bilgiler alınmasına izin verecekti. Ayrıca siber saldırının ileri bir aşamasında etkinleştirilecek başka bir kötü amaçlı kod turu için zemin hazırlayacak.
Bu dosya, bir parola metin dosyası gibi davranarak kurbanları cezbetmeye çalışan bir Windows kısayol dosyası (.LNK) ile birleştirilmiş bir PDF olarak maskelenmişti.
Üzerinde oynanmış PDF dosyası açıldıktan sonra, kullanıcıdan parola için sahte metin dosyasına geri dönmesini isteyen bir bulut depolama konumu başlatılıyor. Buradan, LNK dosyası, uzaktan depolanan bir yükü alan ve yükleyen bir komutla Komut İstemi’ne bağlanıyordu.
Bilgisayar korsanları artık kötü amaçlı yazılımlarla sistemi ihlal ederken, kullanıcı adı, işletim sistemi, CPU, ağ bağdaştırıcıları ve çalışan işlemler gibi hedef sistem hakkında ilgili bilgileri elde edebiliyor.
E-postayı gören çalışanların çoğu şüpheli olarak bildirmiş olsa da bir kişi içeriğin yanıltıcı niteliğinden habersizdi. Bu çalışan sahte belgeyi indirip açtığından Smirnov, saldırının kendisini inceleyebildiğini söyledi.
Daha önceki bir saldırıda keşfedilen dosya adları ve altyapı benzerliği nedeniyle, bu olayın arkasında Lazarus grubundan Kuzey Koreli bilgisayar korsanlarının olduğundan şüpheleniliyor.
Lazarus grubu son zamanlarda oldukça aktif. Yakın zamanda kripto para borsası Coinbase gibi davranarak benzer bir e-posta kampanyasıyla kripto uzmanlarını kandırmaya çalıştı. Bilgisayar korsanlarının bu yılın başlarında 617 milyon dolarlık büyük bir kripto soygunu yaptığı biliniyor.
