Kuzey Kore bağlantılı Lazarus Grubu’na bağlı bir alt birim, ABD’de kurduğu sahte kripto danışmanlık şirketleri aracılığıyla yazılım geliştiricilerini hedef alan geniş çaplı bir siber saldırı kampanyası yürütüyor.
Siber güvenlik firması Silent Push’un 24 Nisan tarihli raporuna göre, “Contagious Interview” adı verilen bu alt grup, BlockNovas, Angeloper Agency ve SoftGlide adlı üç paravan şirket kurarak, sahte iş görüşmeleri üzerinden kötü amaçlı yazılım dağıtıyor. Bu şirketlerden BlockNovas ve SoftGlide’in ABD’de yasal olarak kayıtlı olduğu bildirildi.
Silent Push Kıdemli Tehdit Analisti Zach Edwards, X platformunda yaptığı açıklamada, “Bu sahte web siteleri ve işe alım platformlarındaki geniş çaplı sahte hesap ağı, insanları iş başvurusu yapmaya teşvik ediyor. Başvuru sürecinde adaylardan tanıtım videosu kaydetmeleri isteniyor ve bu sırada bir hata mesajı gösteriliyor. Sorunun çözümü gibi sunulan basit bir kopyala-yapıştır yöntemi ise kötü amaçlı yazılımın bulaşmasına neden oluyor” dedi.
Rapora göre, saldırganlar BeaverTail, InvisibleFerret ve OtterCookie adlı üç farklı kötü amaçlı yazılım kullanıyor. BeaverTail, bilgi hırsızlığı ve ileri aşama zararlı yazılımların yüklenmesi amacıyla tasarlanmışken, OtterCookie ve InvisibleFerret özellikle kripto cüzdan anahtarları ve pano verilerini hedef alıyor. Kurbanları genellikle GitHub üzerindeki iş ilanları ve serbest çalışma platformları aracılığıyla bulan hackerlar, inandırıcılığı artırmak için yapay zeka ile üretilmiş veya gerçek kişilerden çalınmış fotoğraflarla sahte çalışan profilleri oluşturuyor.
“Bazı örneklerde tehdit aktörlerinin gerçek bir kişiye ait fotoğrafı alıp, bunu yapay zekayla küçük değişikliklerle yeniden ürettiğini tespit ettik,” diyen Edwards, kimlik sahteciliği yöntemlerinin önceki saldırılardan çok daha sofistike olduğunu vurguladı.
2024’ten bu yana devam eden bu kampanyada, en az iki geliştiricinin hedef alındığı ve bunlardan birinin MetaMask cüzdanının ele geçirildiği bildirildi. FBI, bu kapsamda BlockNovas’ın alan adını ele geçirse de SoftGlide ve diğer altyapılar hala aktif durumda. Mart ayında en az üç kripto girişiminin kurucusu, sahte Zoom görüşmeleri yoluyla gerçekleştirilmeye çalışılan veri hırsızlığı girişimlerini engellediklerini açıkladı.
Lazarus Grubu, bugüne dek Web3 ekosistemindeki en büyük siber soygunların başlıca sorumluları arasında gösteriliyor. Grup, 1,4 milyar dolarlık Bybit saldırısı ve 600 milyon dolarlık Ronin ağı ihlali gibi devasa çaplı saldırılarla ilişkilendiriliyor.
