‘Kuzey Koreli’ Hackerlar Kripto Borsalarını Hedefliyor, Word Belgesinde Virüs Yayıyorlar

Tim Alper
| 2 min read

Güvenlik uzmanları, Kuzey Koreli hackerların "kripto borsası çalışanlarını dolandırmak için sahte iş teklifi e-postaları kullandığı" konusunda uyardı ve Pyongyang ile uyumlu siber teröristler, 38. Paralelin güneyinde "kötü amaçlı yazılım yüklü MS Word belgelerini" dolaştırarak "hasara" neden oluyor.

Pyongyang. Kaynak: Adobe/Oleg Znamenskiy

Güney Kore, Seullü bir IT güvenlik uzmanı olan Gina Kim, Cryptonews.com‘a şunları söyledi:

"Kuzey Kore’den geldiklerini kesin olarak söyleyemesem de, mükemmel derecede Korece dil becerilerine sahip kötü niyetli kişiler artık iyi niyetli iş teklifleri gibi görünen tekliflerle kripto borsaları da dahil olmak üzere Güney Kore finans kurumlarındaki çalışanları hedef alıyor. Buradaki fikir, güven oluşturmak ve nihayetinde personelin kötü amaçlı yazılım bulaşmış belgeleri ya da uygulamaları iş bilgisayarlarında açmasını sağlamaktır. Tespit edilmesi kolay spam e-posta günleri geride kaldı."

News1’e göre, güvenlik firmaları hükümet organlarını, finans kurumlarını, kripto borsalarını ve daha fazlasını hedefleyen Pyongyang tabanlı kampanyaların kanıtlarını ortaya çıkardı.

Güney Koreli güvenlik sağlayıcısı AhnLab‘ın Güvenlik Yanıt Merkezi, Kimsuki adlı "şüpheli Kuzey Koreli hacker grubunun" normal görünümlü bir Word belgesi gibi görünen bir belgeyi kullanarak bir dizi Güney Koreli hedef üzerinde siber saldırı kampanyası başlattığını söyledi.

Zararsız görünen belge, e-posta yoluyla dağıtıldı, Kuzey Kore ile ilgili işler, üniversiteler ve daha fazlasıyla ilgilenen devlet dairelerine ulaştı ve görünüşte Kuzey Kore ile ilgili bilgileri içeriyordu.

Ancak belgeye açıldığı şirketlerin cihazlarını ve ağlarını tehlikeye atan kötü amaçlı kod yerleştirildi.

Basın kuruluşu, kısa süre önce sahte iş tekliflerinin ticaret platformu personelini tehlikeye atmanın yeni bir yolu olduğunu iddia eden bir firma olan F-Secure‘un, saldırıların ardından kötü şöhretli Lazarus grubunun olduğuna dair kanıtları olduğunu söyledi.

Lazarus, 2018’deki WannaCry fidye yazılımı saldırılarının arkasında olduğuna inanılan Kuzey Koreli hacker grubudur.

Basın kuruluşu, F-Secure’den Matt Lawrence’ın şu sözlerini aktardı:

"Son siber saldırılar ile önceki Lazarus saldırıları arasında benzerlikler bulduk. Bu benzerliklerden dolayı son siber saldırıların ardında Lazarus’un olduğuna inanıyoruz."

F-Secure geçen ay Lazarus’un bu yıl LinkedIn gibi platformları kullanarak bir düzineden fazla ülkedeki kripto borsası çalışanına sahte iş teklifleri içeren hedefli kimlik avı saldırıları başlattığını iddia etti.