• BIST 9367.77
  • Altın 2952.122
  • Dolar 34.4839
  • Euro 36.1941
  • Bursa 7 °C
  • İstanbul 7 °C
  • Ankara 15 °C

İş teklifinden siber saldırı çıktı

İş teklifinden siber saldırı çıktı
Araştırmacılar, Linux kullanıcılarını hedef alan yeni bir Lazarus Operasyonu olan DreamJob kampanyasını keşfetti...

ESET Research, yem olarak sahte bir HSBC iş teklifi sunan ZIP dosyasından son yüke kadar tüm zinciri yeniden oluşturmayı başardı: OpenDrive bulut depolama hesabı aracılığıyla dağıtılan SimplexTea Linux arka kapısı. Kuzey Kore bağlantılı bu büyük tehdit aktörü, operasyonun bir parçası olarak Linux kötü amaçlı yazılımını ilk kez kullanıyor. Bu yeni keşfedilen Linux kötü amaçlı yazılımıyla benzerlikler, 3CX tedarik zinciri saldırısının arkasında kötü bir üne sahip Kuzey Kore bağlantılı grubun olduğu teorisini destekliyor.

Lazarus etkinliklerini araştıran ESET araştırmacısı Peter Kálnai bu konuda şunları söyledi: “Bu keşif son 3CX tedarik zinciri saldırısının aslında Lazarus tarafından gerçekleştirildiğine dair inandırıcı kanıtlar sunuyor. Baştan beri bu durumdan şüpheleniliyor ve o zamandan beri birçok güvenlik araştırmacısı tarafından buna dikkat çekiliyordu.” 

3CX, birçok kuruluşa telefon sistemi hizmetleri sağlayan uluslararası bir VoIP yazılım geliştiricisi ve distribütörü. Web sitesine göre 3CX'in havacılık, sağlık ve konaklama dahil olmak üzere çeşitli sektörlerde 600.000'den fazla müşterisi ve 12 milyon kullanıcısı var. Sistemlerini bir web tarayıcısı, mobil uygulama veya bir masaüstü uygulaması aracılığıyla kullanmak için istemci yazılımı sunuyor. Mart 2023'ün sonlarında, hem Windows hem de macOS için masaüstü uygulamasının yüklendiği tüm makinelerde, bir grup saldırganın rastgele kod indirip çalıştırmasını sağlayan kötü amaçlı kod olduğu keşfedildi. Güvenliği ihlal edilen 3CX yazılımı, bazı 3CX müşterilerine ilave olarak kötü amaçlı yazılım dağıtmak için harici tehdit aktörleri tarafından gerçekleştirilen bir tedarik zinciri saldırısında kullanıldı.

Kötü amaçlı bu kişiler bu saldırıları Aralık 2022 gibi çok önceki bir tarihte planlamışlardı. Bu, geçen yılın sonlarında 3CX ağında bir yer edindiklerini gösteriyor. Saldırının halka açıklanmasından birkaç gün önce, VirusTotal'a gizemli bir Linux indirici gönderildi. Bu indirici, Linux için yeni bir Lazarus arka kapısı olan SimplexTea'yi indirerek 3CX saldırısındaki yüklerle aynı Komuta ve Kontrol sunucusuna bağlanıyor.

Kálnai durumu şöyle açıklıyor: “Çeşitli BT altyapılarına dağıtılan bu güvenliği ihlal edilmiş yazılım, yıkıcı etkileri olabilecek her türlü yükün indirilmesine ve yürütülmesine olanak tanır. Bir tedarik zinciri saldırısının gizliliği, bu kötü amaçlı yazılım dağıtma yöntemini bir saldırgan için oldukça çekici hale getiriyor ve Lazarus bu tekniği zaten daha önce kullanmıştı. 

DreamJob Operasyonu, Lazarus’un sahte cazip iş teklifleriyle hedef aldığı kişilerin bilgisayarlarına sızmak için sosyal mühendislik tekniklerini kullandığı bir dizi kampanyanın adı. 20 Mart'ta Gürcistan’daki bir kullanıcı VirusTotal'a HSBC job offer.pdf.zip adlı bir ZIP arşivi gönderdi. Lazarus'un diğer DreamJob kampanyaları göz önüne alındığında, bu yük muhtemelen hedefe yönelik kimlik avı veya LinkedIn'deki doğrudan mesajlar aracılığıyla dağıtıldı. Arşiv tek bir dosya içeriyor: Go'da yazılmış ve HSBC job offer․pdf adlı yerel bir 64 bit Intel Linux ikili dosyası.

  • Yorumlar 0
  • Facebook Yorumları 0
    UYARI: Küfür, hakaret, rencide edici cümleler veya imalar, inançlara saldırı içeren, imla kuralları ile yazılmamış,
    Türkçe karakter kullanılmayan ve büyük harflerle yazılmış yorumlar onaylanmamaktadır.
    Bu habere henüz yorum eklenmemiştir.
Diğer Haberler
  • Sahte iPhone 16 tekliflerine dikkat09 Eylül 2024 Pazartesi 10:41
  • Takviye ürün dolandırıcılığı arttı07 Eylül 2024 Cumartesi 09:20
  • Tehlike arama motorları ile yayılıyor06 Eylül 2024 Cuma 10:51
  • Güvenlik açıklarına dikkat02 Eylül 2024 Pazartesi 10:49
  • Banka dolandırıcılığına dikkat02 Eylül 2024 Pazartesi 09:20
  • Dijital kimlik nasıl korunur?31 Ağustos 2024 Cumartesi 09:27
  • Ebeveynler bu tuzağa düşmeyin!31 Ağustos 2024 Cumartesi 09:25
  • Siber suçluların en sevdiği saldırı29 Ağustos 2024 Perşembe 10:31
  • İnternet kullanıcıları saldırı altında26 Ağustos 2024 Pazartesi 09:53
  • Siber suçluların yeni tekniği23 Ağustos 2024 Cuma 09:18
  • Tüm Hakları Saklıdır © 2015 Bursa Bakış | İzinsiz ve kaynak gösterilmeden yayınlanamaz.
    Tel : Haber İhbar Hattı: 0544.201 80 43 Faks : 0544.201 80 43