Microsoft, BlueNoroff Kuzey Koreli bilgisayar korsanlığı grubunun LinkedIn’de yaklaşan sosyal mühendislik kampanyaları için yeni saldırı altyapısı kurduğu konusunda uyarıyor.
Mali motivasyona sahip bu tehdit grubunun (Microsoft tarafından Sapphire Sleet olarak takip ediliyor) aynı zamanda kripto para şirketlerindeki çalışanları hedef alan belgelenmiş bir kripto para hırsızlığı saldırıları geçmişi de var.
BlueNoroff bilgisayar korsanları, LinkedIn’deki ilk temasın ardından hedeflerini seçtikten sonra, çeşitli sosyal ağlardaki özel mesajlar yoluyla iletilen kötü amaçlı belgelerde gizlenmiş kötü amaçlı yazılımları dağıtarak sistemlerine arka kapı açıyor.
Microsoft Tehdit İstihbaratı güvenlik uzmanlarına göre, “Microsoft’un Sapphire Sleet olarak takip ettiği ve sosyal mühendislik yoluyla kripto para hırsızlığıyla tanınan hacker grubu, son birkaç hafta içinde beceri değerlendirme portalları gibi görünen yeni web siteleri oluşturdu ve bu da grubun taktiklerinde bir değişime işaret ediyor.”
“Sapphire Sleet genellikle LinkedIn gibi platformlarda hedefler buluyor ve beceri değerlendirmesiyle ilgili yemler kullanıyor. hacker grubu daha sonra hedeflerle olan başarılı iletişimini diğer platformlara taşıyor.”
Daha önce, Kuzey Kore devlet korsanlarının kötü amaçlı eklentileri doğrudan dağıttığı veya GitHub gibi meşru web sitelerinde barındırılan sayfalara bağlantılar kullandığı görülüyordu.
Ancak Microsoft, saldırganların kötü amaçlı dosyalarının yasal çevrimiçi hizmetlerden hızlı bir şekilde tespit edilmesi ve kaldırılmasının, BlueNoroff bilgisayar korsanlarının kötü amaçlı yükleri barındırabilecek kendi web sitelerini oluşturmaya teşvik ettiğine inanıyor.
Bu web siteleri, analiz çabalarını engellemek için şifre korumalıdır ve işe alım uzmanlarını bir hesaba kaydolmaya teşvik eden beceri değerlendirme portalları olarak kamufle edilmiştir.
BlueNoroff kimdir?
Geçtiğimiz yıllarda Kaspersky, BlueNoroff’u ABD, Rusya, Çin, Hindistan, Birleşik Krallık, Ukrayna, Polonya, Çek Cumhuriyeti, BAE, Singapur, Estonya, Vietnam, Malta, Almanya ve Hong Kong dahil olmak üzere dünya çapında kripto para birimi girişimlerine ve finans kuruluşlarına yönelik bir dizi saldırıyla ilişkilendirmişti.
Bu haftanın başlarında Jamf Threat Labs’ın güvenlik araştırmacıları, BlueNoroff’u, güvenliği ihlal edilmiş cihazlarda uzak kabuklar açarak Mac’leri hedef alan arka kapı açmak için kullanılan yeni ObjCShellz macOS kötü amaçlı yazılımıyla ilişkilendirdi.
