bencede
New member
Sentinel'deki BT güvenliği araştırmacıları, Kuzey Koreli siber suç grubu Blue Noroff'a atfedilen yeni bir kötü amaçlı yazılım kampanyası keşfettiler. Saldırganlar, macOS'a özel çok aşamalı kötü amaçlı yazılımlarla kripto para birimi şirketlerini hedef alıyor.
Duyuru
“Gizli risk”
Siber araştırmacılara göre saldırganlar, kurbanlarını kripto para birimi trendleriyle ilgili haber bülteni görünümündeki e-postalarla cezbediyor. Saldırganlar, bir kripto etki sahibinden gelen e-postayı gönderen olarak gerçek bir kişinin adını kullanır. Kurbanlar, e-postada yer alan ve “Bitcoin'in Yeni Fiyat Artışının Arkasındaki Gizli Risk” gibi başlıklara sahip olduğu iddia edilen PDF dosyalarının bağlantısını tıkladıklarında virüs bulaşıyor. Araştırmacılar, PDF'nin ismine dayanarak kampanyayı HiddenRisk olarak adlandırdı.
İlk enfeksiyon sırasında damlalık adı verilen bir madde söz konusu sisteme ulaşır. Bu, virüs içeren bir yazılım paketidir. Bu, kendisini sisteme yerleştirir ve ardından ek kötü amaçlı yazılımları yeniden yükler.
Apple tarafından geliştirilen Swift programlama dilinde yazılan damlalık, Apple geliştirici kimliği “Avantis Regtech Private Limited (2S8XHJ7948)” tarafından 19 Ekim'de imzalandı ve noter tasdiki yapıldı. Apple şimdi imzayı iptal etti. Bu imza ve kimlik doğrulama aslında bir yazılımın işlevselliğini ve güvenliğini doğrulamaya yarar.
Kurbanların dikkatini dağıtmak için, bağlantıya tıklandığında aslında bir PDF indiriliyor ve PDF görüntüleyicide açılıyor. Ancak arka planda, damlalık internetten ek kötü amaçlı kod indirir. Apple'ın Uygulama Aktarımı güvenlik politikasının yerine geçer ve saldırgan tarafından kontrol edilen bir alana yapılan güvenli olmayan HTTP bağlantılarının sisteme kabul edilmesini sağlar.
Bir sonraki adımda bu kötü amaçlı kod, manipüle edilmiş kod biçiminde gizleniyor .zshenv-Kullanıcı tarafından fark edilmeyen, ana dizindeki gizli bir dizinde bulunan yapılandırma dosyası. Bu bir x86-64 Mach-O ikilisidir, yani yalnızca Intel işlemcili Mac'lerde ve Rosetta emülasyon yazılımı yüklü Apple Silicon Mac'lerde çalışır.
İlk kez gerçek saldırılarda görüldü
Araştırmacılara göre varyant zararlı .zshenvsistemdeki dosya temelde yeni değildir ancak daha önce gerçek saldırılar sırasında keşfedilmemiştir. Bu, saldırganların, macOS 13'ten bu yana tanıtılan ve kullanıcıları LaunchAgents kurulumu gibi şüpheli işlemler konusunda bilgilendirerek aslında uyaran işletim sistemi kalıcılık tespit sistemlerini atlamasına olanak tanıyor.
Blog gönderisine göre, tehdit aktörlerinin defalarca Apple geliştirici kimliklerini ele geçirmeyi ve kötü amaçlı yazılımlarının kimliğini doğrulamayı başardıkları da dikkat çekiyor. Kuzey Koreli saldırganların kripto şirketlerini hedef alması yeni bir şey değil. Kuzey Kore'nin siber suçluları, BM onaylı nükleer silah geliştirme programını başka yollarla da finanse etmeye çalışıyor gibi görünüyor. Ekim ayında Federal Anayasayı Koruma Dairesi, Kuzey Koreli BT çalışanlarının bu amaçla çalışma platformlarında serbest çalışan olarak hizmet sunmalarına karşı uyardı.
(kst)
Duyuru
“Gizli risk”
Siber araştırmacılara göre saldırganlar, kurbanlarını kripto para birimi trendleriyle ilgili haber bülteni görünümündeki e-postalarla cezbediyor. Saldırganlar, bir kripto etki sahibinden gelen e-postayı gönderen olarak gerçek bir kişinin adını kullanır. Kurbanlar, e-postada yer alan ve “Bitcoin'in Yeni Fiyat Artışının Arkasındaki Gizli Risk” gibi başlıklara sahip olduğu iddia edilen PDF dosyalarının bağlantısını tıkladıklarında virüs bulaşıyor. Araştırmacılar, PDF'nin ismine dayanarak kampanyayı HiddenRisk olarak adlandırdı.
İlk enfeksiyon sırasında damlalık adı verilen bir madde söz konusu sisteme ulaşır. Bu, virüs içeren bir yazılım paketidir. Bu, kendisini sisteme yerleştirir ve ardından ek kötü amaçlı yazılımları yeniden yükler.
Apple tarafından geliştirilen Swift programlama dilinde yazılan damlalık, Apple geliştirici kimliği “Avantis Regtech Private Limited (2S8XHJ7948)” tarafından 19 Ekim'de imzalandı ve noter tasdiki yapıldı. Apple şimdi imzayı iptal etti. Bu imza ve kimlik doğrulama aslında bir yazılımın işlevselliğini ve güvenliğini doğrulamaya yarar.
Kurbanların dikkatini dağıtmak için, bağlantıya tıklandığında aslında bir PDF indiriliyor ve PDF görüntüleyicide açılıyor. Ancak arka planda, damlalık internetten ek kötü amaçlı kod indirir. Apple'ın Uygulama Aktarımı güvenlik politikasının yerine geçer ve saldırgan tarafından kontrol edilen bir alana yapılan güvenli olmayan HTTP bağlantılarının sisteme kabul edilmesini sağlar.
Bir sonraki adımda bu kötü amaçlı kod, manipüle edilmiş kod biçiminde gizleniyor .zshenv-Kullanıcı tarafından fark edilmeyen, ana dizindeki gizli bir dizinde bulunan yapılandırma dosyası. Bu bir x86-64 Mach-O ikilisidir, yani yalnızca Intel işlemcili Mac'lerde ve Rosetta emülasyon yazılımı yüklü Apple Silicon Mac'lerde çalışır.
İlk kez gerçek saldırılarda görüldü
Araştırmacılara göre varyant zararlı .zshenvsistemdeki dosya temelde yeni değildir ancak daha önce gerçek saldırılar sırasında keşfedilmemiştir. Bu, saldırganların, macOS 13'ten bu yana tanıtılan ve kullanıcıları LaunchAgents kurulumu gibi şüpheli işlemler konusunda bilgilendirerek aslında uyaran işletim sistemi kalıcılık tespit sistemlerini atlamasına olanak tanıyor.
Blog gönderisine göre, tehdit aktörlerinin defalarca Apple geliştirici kimliklerini ele geçirmeyi ve kötü amaçlı yazılımlarının kimliğini doğrulamayı başardıkları da dikkat çekiyor. Kuzey Koreli saldırganların kripto şirketlerini hedef alması yeni bir şey değil. Kuzey Kore'nin siber suçluları, BM onaylı nükleer silah geliştirme programını başka yollarla da finanse etmeye çalışıyor gibi görünüyor. Ekim ayında Federal Anayasayı Koruma Dairesi, Kuzey Koreli BT çalışanlarının bu amaçla çalışma platformlarında serbest çalışan olarak hizmet sunmalarına karşı uyardı.
(kst)