hack-haber

CryptoCore Hacker Grubu 2018'den beri 200 milyon dolar çaldı

Siber güvenlik firması ClearSky'nin yeni bir raporunda, bir bilgisayar korsanlığı grubu olan “CryptoCore”, mızrak avı kampanyaları aracılığıyla kripto para birimi borsalarını hedefliyor. Tehlikeli Şifre ve Leery Turtle olarak da bilinen CryptoCore, iki yıl içinde 200 milyon dolar değerinde kripto para birimi çaldı. Hackleme grubunun 2018'den beri ABD ve Japonya'daki şirketleri hedeflediği tespit edildi.

“Operatörlerin kökenini kesin olarak anlamadan neredeyse iki yıldır CryptoCore grup kampanyalarını izliyoruz; ancak tehdit aktörünün özellikle Doğu Avrupa bölgesi, Ukrayna, Rusya veya Romanya ile bağlantıları olduğunu orta düzeyde kesinlik ile değerlendiriyoruz. CryptoCore soygunlarının temel amacı, ister genel kurumsal cüzdanlar ister borsa çalışanlarına ait cüzdanlar olsun, kripto para borsalarının cüzdanlarına erişim elde etmektir. Bu tür operasyonlar için, grup şirketi, onun yöneticileri, memurları ve BT personelinin karşı kapsamlı bir keşif aşaması ile başlar,”ClearSky bildirdi .

Mızrak Kimlik Avı Saldırıları

ClearSky, CryptoCore'un bir mızrak kimlik avı saldırısı gerçekleştirmeden önce kripto para birimi değişiminin çalışanlarının ve güvenlik yöneticilerinin e-posta hesaplarını tanımlamak için bir keşif aşaması başlattığını belirtti . Bu saldırılar, bağlı kuruluşların kimliğine bürünen sahte etki alanları kullanılarak, çalışanların kimliğine bürünen e-postalar gönderilerek ve kötü amaçlı bağlantılar ve belgelerin e-posta yoluyla dağıtılmasıyla gerçekleştirilir.

“İlk dayanağı kazandıktan sonra, grubun birincil amacı mağdurun şifre yöneticisi hesabına erişim elde etmektir. Bu, yanal hareket aşamalarında kullanışlı olacak kripto cüzdanların ve diğer değerli varlıkların anahtarlarının saklandığı yerdir. Grup tespit edilmeden kalacaktır ve değişim cüzdanlarının çok faktörlü kimlik doğrulaması kaldırılana kadar kalıcılığını koruyacak ve daha sonra hemen ve duyarlı davranacaktır ”dedi.

CryptoCore Grubundaki Diğer Önemli Bulgular şunları içerir :

  • CryptoCore grubu, enfeksiyon ve sömürü sonrası aşamalar için aynı genel hareket tarzını korur. Yem belge türü, kimlik avı sitelerinin taklit ettiği hizmetler, tam takım ve diğerleri değişebilirken, kapsayıcı bir strateji aynı kalır.
  • Grup aynı zamanda yem belgeleri ve hatta bazı yükler için de aynı unvanları kullanıyor gibi görünüyor.
  • Grup, Google Drive'ı, dosyaları, özellikle de yemler için depolama alanı olarak kullanır. Kimlik avı e-postaları bazen bir taklitçi sitesine yönlendirirken Drive'dan olduğunu iddia eden bağlantılar içerir ve bazen gerçek Drive hizmetini kullanır. Yine, Drive kullandıkları tek hizmet değil, sadece yaygındır.
  • Saldırganların çoğunlukla metin dosyaları olmak üzere diğer dosya türlerinin simgelerinin ve başlıklarının arkasına LNK kısayollarını gizlediklerini gördük. Bazen ana belgeyi açmak için gereken bir şifre dosyası olabilir, bazen bir kısayol olan ana belge olabilir, ancak LNK dosyaları bu grup için bir zımba olabilir. Bu dosyalar komut ve kontrol (C2) sunucusuna bağlanmak ve sonraki aşama dosyalarını indirmek için kullanılır.
  • Grubun altyapısı sürekli ve hızla değişiyor. Bazı durumlarda, aynı altyapıların sürekli olarak, belki de birden fazla kurbana karşı sürekli olarak yeniden kullanıldığını gördük, ancak grup genellikle yeni alan adları ve bağlantılar kaydetme ve kullanma konusunda hızlıdır.



Yorumlar Toplam Yorum Henüz yorum Yapan Yok


Yorum Yap


Scroll to Top