APT
Uzmanlarımız kripto para birimleri, akıllı sözleşmeler, merkezi olmayan finans ve blok zinciri teknolojisi ile uğraşan şirketleri hedef alan kötü amaçlı bir girişimi inceliyor. Saldırganlar genel olarak fintech ile ilgileniyor. SnatchCrypto adlı girişim, Bangladeş merkez bankasına yapılan 2016 saldırısıyla bağlantısı olduğu bilinen BlueNoroff APT grubuyla ilişkilendiriliyor.
SnatchCrypto hedefleri
Bu girişimin arkasındaki siber suçluların iki amacı var: Bilgi toplamak ve kripto para çalmak. İlk önce kullanıcı hesapları, IP adresleri ve oturum bilgileri hakkında veri toplamakla ilgileniyorlar. Doğrudan kripto para birimiyle çalışan ve hesaplar hakkında kimlik bilgileri ve başka bilgiler içerme olasılığı olan programlardan yapılandırma dosyalarını çalıyorlar. Saldırganlar, potansiyel kurbanları dikkatle inceliyor; bazen aylarca etkinliklerini izliyorlar.
Yöntemlerinden biri, kripto cüzdanları yönetmek için kullanılan popüler tarayıcı uzantılarıyla gerçekleştirdikleri bazı manipülasyonlar. Örneğin, tarayıcı ayarlarında bir uzantının kaynağını, resmi internet mağazası yerine yerel depolamadan (yani değiştirilmiş bir sürümden) kurulacak şekilde değiştirebiliyorlar. Ayrıca, işlem mantığını değiştirmek amacıyla Chrome için değiştirilmiş Metamask uzantısı kullanarak kripto para transferlerini imzalamak için donanım cihazlarını kullananlardan bile para çalabiliyorlar.
BlueNoroff’un istila yöntemleri
Saldırganlar kurbanlarını dikkatle inceliyor ve edindikleri bilgileri sosyal mühendislik saldırıları uygulamak için kullanıyorlar. Genellikle mevcut girişim şirketlerinden geliyormuş gibi görünen, ancak ekinde makro etkinleştirilmiş bir belge bulunan e-postalar oluşturuyorlar. Bu belge açıldığında, eninde sonunda bir arka kapı indiriliyor. Saldırı ve saldırganların yöntemleri hakkında ayrıntılı teknik bilgi için Securelist’in “The BlueNoroff kripto para avı hala sürüyor” başlıklı raporuna göz atın.
Şirketinizi SnatchCrypto saldırılarından nasıl koruyabilirsiniz?
SnatchCrypto etkinliğinin açık işaretlerinden biri, değiştirilmiş bir Metamask uzantısıdır. Saldırganların bunu kullanabilmek için tarayıcıyı geliştirici moduna geçirmesi ve Metamask uzantısını yerel bir dizinden yüklemesi gerekir. Bunu kolayca kontrol edebilirsiniz: Tarayıcı modu izniniz olmadan değiştirildiyse ve uzantı yerel bir dizinden yüklendiyse cihazınız muhtemelen tehlikeye girmiştir.
Ek olarak, aşağıdaki standart koruyucu önlemleri almanızı öneriyoruz:
- Periyodik olarak çalışanların siber güvenlik bilincini arttırın;
- Kritik uygulamaları (işletim sistemi ve ofis paketleri dahil) hemen güncelleyin;
- İnternet erişimi olan her bilgisayarı güvenilir bir güvenlik çözümü ile donatın;
- Karmaşık tehditleri tespit etmenize ve zamanında yanıt vermenize yardımcı olan bir EDR çözümü kullanın (altyapınıza uygunsa).
İpuçları