BlueNoroff saldırganları, portföyüne yeni ve daha kötü amaçlı yazılım türleri ekledi

Kaspersky araştırmacıları, kötü şöhretiyle tanınan Gelişmiş Kalıcı Tehdit (APT) aktörü BlueNoroff'un portföyüne yeni ve daha gelişmiş kötü amaçlı yazılım türleri eklediğini keşfetti.

Kaspersky açıklamasına göre, BlueNoroff, girişim sermayesi şirketlerini, kripto startup'larını ve bankaları hedef alarak dünya çapındaki finansal kuruluşların kripto para varlıklarını hedefleyen bir saldırgan olarak biliniyor.

Son raporlara göre, BlueNoroff, kötü amaçlı yazılımlarını daha verimli bir şekilde iletebilmek adına yeni dosya türlerini deniyor ve startup çalışanlarını tuzağa düşürmek için risk sermayesi şirketlerine ve bankalara ait 70'ten fazla sahte domain oluşturmuş durumda bulunuyor.

Lazarus grubunun bir parçası olan BlueNoroff, alametifarikası gereği akıllı sözleşmeler, DeFi, Blockchain ve FinTech endüstrisi ile uğraşan kuruluşlara saldırmak için gelişmiş kötü amaçlı teknolojilerini kullanıyor.

2022'de Kaspersky uzmanları, BlueNoroff tarafından yürütülen dünya çapındaki kripto para girişimlerine yönelik bir dizi saldırıyı bildirmişti ancak sonrasında sessiz bir döneme girildi.

Diğer taraftan, Kaspersky'nin telemetri ölçümlerine göre, BlueNoroff, bu sonbaharda saldırmak için geri döndü ve bu defa her zamankinden daha aktif ve daha özel saldırılar yapacak.

Son zamanlarda birçok saldırgan, Web İşareti'nden (Mark-off-the-Web) kaçınmak için görüntü dosyalarını benimsedi

Kaspersky uzmanları, saldırganların şu anda kurbanın bilgisayarına bulaşmak için yeni bir Visual Basic Komut Dosyası, görünmeyen bir Windows toplu işlem dosyası ve bir Windows uygulama dosyası gibi daha önce kullanılmamış dosya türlerini aktif olarak denediğine ve test ettiğine inanıyor. Dahası, ileri düzey siber suçlular arasında popüler olan mevcut taktikleri kullanmanın yanı sıra kendi stratejilerini de icat ederek Windows güvenlik önlemlerini atlatma konusunda daha başarılı olmaya başladılar.

Son zamanlarda birçok saldırgan, Web İşareti'nden (Mark-off-the-Web) kaçınmak için görüntü dosyalarını benimsedi.

Özetle, MOTW flag'i denilen şey, kullanıcı internetten indirilen bir dosyayı görüntülemeye çalıştığında Windows'un uyarı mesajı (Dosyanın "Korumalı görünümde" açılması gibi) verdiği bir güvenlik önlemi olarak adlandırılıyor.

Bu mitigasyon tekniğinden kaçınmak için içlerinde BlueNoroff'un da bulunduğu çok sayıda saldırgan, ISO dosya türlerinden (yazılım veya medya içeriğinin dağıtımı için kullanılan normal optik disklerin dijital kurulum kopyaları) yararlanmaya başlamış durumda bulunuyor.

Tehdit aktörleri, bu tip saldırılarının gücünü her geçen gün artırıyor. Ekim 2022'de Kaspersky araştırmacıları, dünyaca ünlü risk sermayesi şirketlerini ve bankaları taklit eden 70 sahte alan adı gözlemledi.

Etki alanlarının çoğu, Beyond Next Ventures, Mizuho Financial Group ve diğer Japon firmalarını taklit ediyor. Bu da saldırgan grubun Japon mali kuruluşlarına yoğun ilgi gösterdiğini açığa çıkartıyor. Kaspersky telemetri ölçümlerine göre, saldırgan, ayrıca BAE kuruluşlarını da hedef alıyor ve bunu yaparken de kendisini ABD ve Vietnam şirketleri kılığına sokuyor.

"Çalışanlarınızı siber güvenliğin temelleri konusunda eğitin ve tüm kurumsal cihazlarda güvenilir bir güvenlik çözümü kullanın"

Açıklamada görüşlerine yer verilen Kaspersky'nin Küresel Araştırma ve Analiz Ekibi (GReAT) kıdemli güvenlik araştırmacısı Seongsu Park, "2023 için yaptığımız en son gelişmiş kalıcı tehdit (APT) öngörülerimize göre, yeni yıla etkisi ve gücü daha önce hiç görülmemiş düzeyde siber salgınlar damga vuracak. Teknolojik üstünlükleri ve etkileri bakımından kötü şöhretiyle bilinen WannaCry'a benzeyecekler. BlueNoroff deneyimindeki bulgularımız, siber suçluların yerinde durmadıklarını ve sürekli olarak yeni ve daha gelişmiş saldırı araçlarını test edip analiz ettiklerini kanıtlıyor. Yeni kötü niyetli saldırıların eşiğinde olan işletmeler her zamankinden daha güvenliğe önem vermeli, bu yüzden çalışanlarınızı siber güvenliğin temelleri konusunda eğitin ve tüm kurumsal cihazlarda güvenilir bir güvenlik çözümü kullanın." ifadelerini kullandı.

"Personelinize temel siber güvenlik hijyen eğitimi verin"

Kuruluşların korunması için Kaspersky, şu önerilerde bulunuyor:

"Personelinize temel siber güvenlik hijyen eğitimi verin. Kimlik avı e-postalarını saptayacaklarını bildiklerinden emin olmak için simüle edilmiş bir kimlik avı saldırısı gerçekleştirin. Bilinen ve bilinmeyen tehditlere karşı etkili korunma için davranış tabanlı algılama ve anormallik kontrolü yetenekleriyle donatılmış Kaspersky Endpoint Security for Business gibi başarısı kanıtlanmış bir uç nokta güvenlik çözümü seçin.

Yeni ve saptaması zor tehditleri zamanında tespit etmek ve çözmek için etkili uç nokta koruması, tehdit algılama ve müdahale ürünlerine sahip özel bir siber güvenlik çözümü kullanın. Kaspersky Optimum Framework, EDR ve MDR ile güçlendirilmiş temel uç nokta koruması setini içerir."