Kuzey Kore bağlantılı bir hacker grubu olan Lazarus Group, taktiklerini evirerek kripto para sektöründeki iş arayanları hedef almaya başladı, özellikle merkezi finans (CeFi) alanında, 'ClickFix' adı verilen bir yöntem kullanarak. Bu yeni yaklaşım, önceki 'Bulaşıcı Mülakat' kampanyalarının bir uyarlaması olup, şimdi pazarlama ve iş geliştirme gibi teknik olmayan rolleri hedefleyerek büyük kripto firmalarını taklit etmektedir. Grup, adayları cezbetmek için sahte iş başvuru portalları oluşturmakta, bunun altında sorun giderme kılıfıyla PowerShell komutları çalıştırmalarını isteyerek, kötü amaçlı yazılım indirmektedir. Bu taktik, kripto iş piyasasındaki bireylerin profesyonel hırslarını sömürmektedir. Ayrıca, FBI, Bybit'e yapılan 1,5 milyar dolarlık saldırıyı Lazarus'a atfetmiş olup, sahte iş tekliflerinin personel bilgisayarlarına kötü amaçlı yazılım yüklemek için kullanıldığını belirtmiştir.

SEKOIA

Sekoia'nın yakın zamanda yayınladığı bir siber güvenlik raporu, Kuzey Kore bağlantılı kötü şöhretli hacker grubu Lazarus Group'un oluşturduğu gelişen bir tehdidi ortaya koydu. Şu anda kripto para sektöründe, özellikle merkezi finans (CeFi) içinde iş arayanları hedef almak için "ClickFix" olarak bilinen bir taktik kullanıyor.Bu yaklaşım, grubun daha önce yapay zeka ve kriptoyla ilgili rollerde çalışan geliştiricilere ve mühendislere yönelik gerçekleştirdiği "Bulaşıcı Röportaj" kampanyasının bir uyarlaması niteliğinde.<h2>Lazarus Kripto İşe Alımını Sömürüyor</h2>Yeni gözlemlenen kampanyada Lazarus, Coinbase, KuCoin, Kraken ve hatta stablecoin ihraççısı Tether gibi büyük kripto para şirketlerini taklit ederek odak noktasını pazarlama ve iş geliştirme personeli gibi teknik olmayan profesyonellere kaydırdı.Saldırganlar, iş başvuru portallarını taklit eden sahte web siteleri kuruyor ve adayları sahte görüşme davetleriyle kandırıyor. Bu siteler genellikle gerçekçi başvuru formları ve hatta video tanıtım talepleri içeriyor ve meşruiyet duygusu yaratıyor.Ancak, bir kullanıcı bir video kaydetmeye çalıştığında, genellikle bir web kamerası veya sürücü arızası olduğunu ima eden uydurma bir hata mesajı gösterilir. Sayfa daha sonra kullanıcıdan sorun giderme kisvesi altında PowerShell komutlarını çalıştırmasını ister ve böylece kötü amaçlı yazılım indirmesini tetikler.Nispeten yeni olmasına rağmen bu ClickFix yöntemi, psikolojik basitliği nedeniyle daha yaygın hale geliyor; çünkü kullanıcılar teknik bir sorunu çözdüklerine ve kötü amaçlı kod çalıştırmadıklarına inanıyorlar. Sekoia'ya göre kampanya, güvenilirliği artırmak için en az 14 önemli şirkete atıfta bulunan 184 sahte röportaj davetinden alınan materyallerden yararlanıyor.Bu nedenle, son taktik Lazarus'un sosyal mühendislikteki artan karmaşıklığını ve rekabetçi kripto iş pazarındaki bireylerin profesyonel isteklerini istismar etme yeteneğini göstermektedir. İlginç bir şekilde, bu değişim aynı zamanda grubun hedefleme kriterlerini yalnızca kod veya altyapıya erişimi olanları değil, aynı zamanda hassas dahili verileri işleyebilecek veya istemeden ihlalleri kolaylaştırabilecek konumda olanları da hedefleyerek genişlettiğini göstermektedir.ClickFix'in ortaya çıkmasına rağmen Sekoia, orijinal Contagious Interview kampanyasının aktif kaldığını bildirdi. Stratejilerin bu paralel dağıtımı, Kuzey Kore'nin devlet destekli kolektifinin göreceli etkinliğini test ediyor veya taktikleri farklı hedef demografik özelliklere göre uyarlıyor olabileceğini gösteriyor. Her iki durumda da kampanyalar tutarlı bir hedefi paylaşıyor: güvenilir kanallar aracılığıyla bilgi çalan kötü amaçlı yazılımlar sunmak ve kurbanları kendi kendine enfeksiyona yönlendirmek.<h2>Bybit Hack'inin Arkasındaki Lazarus</h2>Federal Soruşturma Bürosu (FBI), Bybit'e yapılan 1,5 milyar dolarlık saldırıyı resmen Lazarus Group'a bağladı. Kripto borsasını hedef alan bilgisayar korsanları, personeli "TraderTraitor" olarak bilinen kirli ticaret yazılımını yüklemeleri için kandırmak amacıyla sahte iş teklifleri kullandı.Platformlar arası JavaScript ve Node.js geliştirme yoluyla gerçekçi görünecek şekilde tasarlanmış olsa da uygulamalar, özel anahtarları çalmak ve blok zincirinde yasa dışı işlemler gerçekleştirmek üzere tasarlanmış kötü amaçlı yazılımlar içeriyordu.

Lazarus Grubu, 'ClickFix' Zararlı Yazılımı ile CeFi İş Arayanları Hedefliyor