Kuzey Koreli siber suçlular, Apple cihazlarını hedef alan çok aşamalı bir saldırıda yeni bir kötü amaçlı yazılım türü kullanarak kripto şirketlerini hedef alıyorlar.
Siber güvenlik firması Sentinel Labs'taki araştırmacılar, macOS sistemlerini tehlikeye atmak için sosyal mühendislik ve gelişmiş kalıcılık tekniklerini kullanan kampanya hakkında bir uyarı yayınladılar.
Kötü amaçlı yazılım olarak adlandırılan "NimDoor", daha az bilinen Nim programlama dilinde yazılmıştır ve geleneksel antivirüs araçlarını atlatma yeteneğine sahiptir.
Sentinel Labs'a göre, saldırganlar Telegram gibi mesajlaşma platformlarında güvenilir bireyleri taklit ederek iletişim kurmaya başlıyor. Bu durumda mağdurlar, blockchain veya Web3 firmalarında çalışanlar gibi görünmektedir ve sahte Zoom toplantılarına oltalama bağlantıları aracılığıyla çekilerek, rutin bir Zoom SDK güncellemesi olduğu izlenimi verilen bir yazılımın yüklenmesi talimatı alıyorlar.
Bir kez çalıştırıldığında, güncelleme betiği kurbanın Mac cihazına birden fazla aşamada kötü amaçlı yazılım yükler. Bunlar, AppleScript tabanlı sinyaller, kimlik bilgisi çalmak için Bash betikleri ve süreklilik ve uzaktan komut yürütme için Nim ve C++ ile derlenmiş ikili dosyaları içerir.
Binaries, kötü amaçlı yazılım zincirinde belirli görevleri yerine getiren bağımsız program dosyalarıdır. CoreKitAgent adlı bir binary, kullanıcılar kötü amaçlı yazılımı kapatmaya çalıştığında çalışan sinyal tabanlı bir süreklilik mekanizması kullanır; bu da sistem yeniden başlatılsa bile aktif kalmasını sağlar.
Kripto para birimleri, operasyonun ana hedefidir. Kötü amaçlı yazılım, özellikle tarayıcıda saklanan kimlik bilgilerini ve dijital cüzdanlarla ilgili uygulama verilerini hedef alır.
Kötü amaçlı yazılım, Chrome, Brave, Edge ve Firefox gibi popüler tarayıcılardan bilgi çıkarmak için tasarlanmış betikleri çalıştırır ve ayrıca Apple'ın Keychain şifre yöneticisini hedef alır. Diğer bir bileşen, Telegram'ın şifreli veritabanı ve anahtar dosyalarını hedef alarak, mesajlaşma uygulaması üzerinden değiş tokuş edilen cüzdan tohum ifadelerini ve özel anahtarları açığa çıkarma potansiyeline sahiptir.
Kuzey Koreli hackerlar sorumlu
Sentinel Labs, kampanyayı Kuzey Kore ile bağlantılı bir tehdit aktörüne atfetmiştir ve bu, Kore Demokratik Halk Cumhuriyeti tarafından gerçekleştirilen kripto odaklı siber saldırılarının devam eden bir örneğidir.
Lazarus gibi hack grupları, uluslararası yaptırımları aşmak ve devlet operasyonlarını finanse etmek amacıyla dijital varlık şirketlerini uzun zamandır hedef alıyor. Önceki operasyonlarda Go ve Rust dillerinde yazılmış kötü amaçlı yazılım kullanılmıştı, ancak bu kampanya, macOS hedeflerine karşı Nim dilinin en büyük dağıtımlarından birini işaret ediyor.
Daha önce crypto.news tarafından bildirildiği gibi, 2023'ün sonlarında araştırmacılar, Kandykorn olarak bilinen Python tabanlı kötü amaçlı yazılımı dağıtan başka bir DPRK ile bağlantılı kampanya gözlemledi. Bu yazılım, kripto arbitraj botu olarak kamufle edilmiş Discord sunucuları aracılığıyla dağıtıldı ve esas olarak macOS kullanan blockchain mühendislerini hedef aldı.
Sentinel Labs, tehdit aktörlerinin giderek daha fazla belirsiz programlama dilleri ve sofistike teknikler benimsemesiyle, macOS etrafındaki geleneksel güvenlik varsayımlarının artık geçerli olmadığını bildirdi.
Son aylarda, birkaç kötü amaçlı yazılım türü Apple kullanıcılarını hedef aldı, bunlar arasında iOS'taki fotoğraf galerileri aracılığıyla anahtar kelimeleri çalan SparkKitty ve macOS'taki cüzdan uygulamalarının kötü amaçlı bir sürümüyle değiştiren bir trojan yer alıyor.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Kuzey Koreli hackerlar, kripto firmalarını hedef alan en son kötü amaçlı yazılım kampanyasında macOS'u hedef alıyor.
Kuzey Koreli siber suçlular, Apple cihazlarını hedef alan çok aşamalı bir saldırıda yeni bir kötü amaçlı yazılım türü kullanarak kripto şirketlerini hedef alıyorlar.
Siber güvenlik firması Sentinel Labs'taki araştırmacılar, macOS sistemlerini tehlikeye atmak için sosyal mühendislik ve gelişmiş kalıcılık tekniklerini kullanan kampanya hakkında bir uyarı yayınladılar.
Kötü amaçlı yazılım olarak adlandırılan "NimDoor", daha az bilinen Nim programlama dilinde yazılmıştır ve geleneksel antivirüs araçlarını atlatma yeteneğine sahiptir.
Sentinel Labs'a göre, saldırganlar Telegram gibi mesajlaşma platformlarında güvenilir bireyleri taklit ederek iletişim kurmaya başlıyor. Bu durumda mağdurlar, blockchain veya Web3 firmalarında çalışanlar gibi görünmektedir ve sahte Zoom toplantılarına oltalama bağlantıları aracılığıyla çekilerek, rutin bir Zoom SDK güncellemesi olduğu izlenimi verilen bir yazılımın yüklenmesi talimatı alıyorlar.
Bir kez çalıştırıldığında, güncelleme betiği kurbanın Mac cihazına birden fazla aşamada kötü amaçlı yazılım yükler. Bunlar, AppleScript tabanlı sinyaller, kimlik bilgisi çalmak için Bash betikleri ve süreklilik ve uzaktan komut yürütme için Nim ve C++ ile derlenmiş ikili dosyaları içerir.
Binaries, kötü amaçlı yazılım zincirinde belirli görevleri yerine getiren bağımsız program dosyalarıdır. CoreKitAgent adlı bir binary, kullanıcılar kötü amaçlı yazılımı kapatmaya çalıştığında çalışan sinyal tabanlı bir süreklilik mekanizması kullanır; bu da sistem yeniden başlatılsa bile aktif kalmasını sağlar.
Kripto para birimleri, operasyonun ana hedefidir. Kötü amaçlı yazılım, özellikle tarayıcıda saklanan kimlik bilgilerini ve dijital cüzdanlarla ilgili uygulama verilerini hedef alır.
Kötü amaçlı yazılım, Chrome, Brave, Edge ve Firefox gibi popüler tarayıcılardan bilgi çıkarmak için tasarlanmış betikleri çalıştırır ve ayrıca Apple'ın Keychain şifre yöneticisini hedef alır. Diğer bir bileşen, Telegram'ın şifreli veritabanı ve anahtar dosyalarını hedef alarak, mesajlaşma uygulaması üzerinden değiş tokuş edilen cüzdan tohum ifadelerini ve özel anahtarları açığa çıkarma potansiyeline sahiptir.
Kuzey Koreli hackerlar sorumlu
Sentinel Labs, kampanyayı Kuzey Kore ile bağlantılı bir tehdit aktörüne atfetmiştir ve bu, Kore Demokratik Halk Cumhuriyeti tarafından gerçekleştirilen kripto odaklı siber saldırılarının devam eden bir örneğidir.
Lazarus gibi hack grupları, uluslararası yaptırımları aşmak ve devlet operasyonlarını finanse etmek amacıyla dijital varlık şirketlerini uzun zamandır hedef alıyor. Önceki operasyonlarda Go ve Rust dillerinde yazılmış kötü amaçlı yazılım kullanılmıştı, ancak bu kampanya, macOS hedeflerine karşı Nim dilinin en büyük dağıtımlarından birini işaret ediyor.
Daha önce crypto.news tarafından bildirildiği gibi, 2023'ün sonlarında araştırmacılar, Kandykorn olarak bilinen Python tabanlı kötü amaçlı yazılımı dağıtan başka bir DPRK ile bağlantılı kampanya gözlemledi. Bu yazılım, kripto arbitraj botu olarak kamufle edilmiş Discord sunucuları aracılığıyla dağıtıldı ve esas olarak macOS kullanan blockchain mühendislerini hedef aldı.
Sentinel Labs, tehdit aktörlerinin giderek daha fazla belirsiz programlama dilleri ve sofistike teknikler benimsemesiyle, macOS etrafındaki geleneksel güvenlik varsayımlarının artık geçerli olmadığını bildirdi.
Son aylarda, birkaç kötü amaçlı yazılım türü Apple kullanıcılarını hedef aldı, bunlar arasında iOS'taki fotoğraf galerileri aracılığıyla anahtar kelimeleri çalan SparkKitty ve macOS'taki cüzdan uygulamalarının kötü amaçlı bir sürümüyle değiştiren bir trojan yer alıyor.