Lazarus hacker grubu, "Yeni Maaş Ayarlamaları" adlı bir PDF dosyası içeren sahte e-postalar göndererek saldırıyı başlatmak için şirketin birkaç ekip üyesini kullanmayı denedi.

DeBridge Finance Saldırısının Arkasındaki Kuzey Koreli Bilgisayar Korsanları


Lazarus hacker grubu, "Yeni Maaş Ayarlamaları" adlı bir PDF dosyası içeren sahte e-postalar göndererek saldırıyı başlatmak için şirketin birkaç ekip üyesini kullanmayı denedi.
Bir çalışan dosyayı indirerek dahili sistemine saldırı düzenledi.
Birkaç yüksek profilli saldırıdan sorumlu olan meşhur Kuzey Koreli Lazarus hacker grubunun Debridge Finance'e hızlı bir girişimde bulunduğu bildirildi. DeBridge Finance'in kurucu ortağı ve proje lideri Alex Smirnov, Cuma günü bunu açıkladı.

Şirket, blok zincirler arasında veri ve varlık aktarımı için kullanılan zincirler arası birlikte çalışabilirlik ve likidite protokolü sağlamasıyla bilinir.

Smirnov'a göre, Lazarus hacker grubu, "Yeni Maaş Ayarlamaları" adlı bir PDF dosyası içeren sahte e-postalar göndererek saldırıyı başlatmak için şirketin birkaç ekip üyesini kullanmayı denedi. Sahte e-postaların, güvenilir bir kaynaktan geliyormuş gibi görünecek şekilde manipüle edildiğini unutmamak önemlidir. Bu özel saldırıda, e-postanın şirketin kurucu ortağından geldiği ortaya çıktı.

Smirnov, ekip üyelerinin olası saldırılar konusunda temel eğitimden geçtiğini açıkladı.

Sıkı iç güvenlik politikalarımız var ve bunları sürekli olarak iyileştirmenin yanı sıra olası saldırı vektörleri hakkında ekibi eğitmek için çalışıyoruz.

Ne olursa olsun, bir çalışan dosyayı indirdi ve dahili sistemine bir saldırıya yol açtı.

Lazarus Hacker Grubunun Saldırısına Soruşturma

Saldırının nereden geldiğini, amacını ve olası sonuçlarını öğrenmek için yapılan ilk araştırma, indirilen dosyanın bilgisayar korsanlarına bilgi vermek için tasarlandığını ortaya çıkardı.

Hızlı analiz, alınan kodun bilgisayar hakkında ÇOK FAZLA bilgi topladığını ve bunu saldırganın komuta merkezine aktardığını gösterdi: kullanıcı adı, işletim sistemi bilgisi, CPU bilgisi, ağ bağdaştırıcıları ve çalışan işlemler.

Smirnov, Debridge'e yapılan saldırının, Twitter'da yayınlanan ve Lazarus grubu tarafından başlatıldığı söylenen başka bir saldırıyla benzer özelliklere sahip olduğunu da gözlemledi.

Takipçilerini, önce gönderenin tam adını doğrulamadan hiçbir e-postayı açmamaları konusunda uyardı. Ayrıca, tehdit aktörlerinden gelenlerden ayırt etmek için ekiplerinin bağlılığı nasıl paylaştığına dair bir dahili protokole sahip olmalıdırlar.

Blockchain güvenlik firması Halborn'un baş işletme görevlisi David Schwed'e göre, bu tür saldırılar çok yaygın. Bilgisayar korsanlarının, bu kötü amaçlı dosyaları dikkatlerini çekebilecek şekilde adlandırmak için insanların meraklı doğasından yararlanmaya çalıştıklarını açıkladı. Schwed ayrıca blok zinciri işlemlerinin değişmezliğinin blok zinciri şirketlerini bu tür saldırıların birincil hedefi haline getirdiğini açıkladı.

Lazarus hacker grubunun, oyna-kazan kripto oyunu Axie Infinity tarafından kullanılan bir Ethereum yan zinciri olan Ronin Network'e yapılan saldırının arkasında olduğu söyleniyor. 622 milyon dolar değerinde kripto çalmayı başardılar ve bu da onu bugüne kadarki en büyük ikinci Defi hack'i haline getirdi. Bu hacker grubunun en erken saldırısı, FBI'ın onları "devlet destekli bir bilgisayar korsanlığı organizasyonu" olarak etiketlemesiyle 2009 yılına kadar uzanıyor. Ayrıca 2017'deki WannaCry fidye yazılımı saldırısından, 2014'te Sony Pictures'ın ihlalinden ve 2020'de ilaç şirketlerine yönelik diğer birkaç saldırıdan da sorumlu oldukları söyleniyor.

En güncel haberleri almak için Telegram kanalımıza, Twitter sayfamıza ve Facebook sayfamıza abone olabilirsin.

BU HABERİ PAYLAŞ