Kuzey Koreli Lazarus Grubu, DeFi saldırıları için "Mach-O Man" macOS kötü amaçlı yazılımını kullanıyor

Kuzey Kore destekli Lazarus Grubu, kripto para ve fintech yöneticilerini hedef alan yeni bir macOS kötü amaçlı yazılım kampanyası başlattı. "Mach-O Man" olarak adlandırılan bu operasyon, sosyal mühendislik ve terminal seviyesinde yüklemeler kullanarak kripto para ve hassas kurumsal verileri çalmayı hedefliyor. CertiK araştırmacılarına göre, kampanya, kurbanların sahte "onarım" veya "doğrulama" komutlarını macOS Terminal'e yapıştırmalarını sağlamak için ClickFix tekniğini kullanıyor. Bu, genellikle sahte çevrimiçi toplantı davetleri aracılığıyla gerçekleştiriliyor. Kötü amaçlı yazılım kullanıldıktan sonra kendini otomatik olarak silerek adli analizleri zorlaştırıyor.

SOC Prime'a göre, "Mach-O Man" çerçevesi Lazarus'un Famous Chollima birimiyle bağlantılı ve Telegram hesapları ile yüksek değerli kripto ve finans kuruluşlarını hedefleyen sahte toplantı davetleri aracılığıyla dağıtılıyor. Kötü amaçlı yazılım, ana bilgisayarı profillemek, kalıcılık sağlamak ve Telegram tabanlı komut ve kontrol yoluyla kimlik bilgileri ile tarayıcı verilerini çalmak için tasarlanmış çoklu Mach-O ikili dosyalarını içeriyor. Google Cloud'un Mandiant'ı, ClickFix'i yapay zeka destekli video deepfake'leri, sahte Zoom görüşmeleri ve ele geçirilmiş mesajlaşma hesaplarıyla birleştiren benzer macOS kampanyalarını daha önce açıklamıştı.

CertiK araştırmacısı Natalie Newson, "Mach-O Man" dalgasını, Lazarus'un sadece iki haftada DeFi platformları Drift ve KelpDAO'dan 500 milyon dolardan fazla çalmasına yol açan daha geniş bir operasyonuna bağladı. Lazarus'un, bir ticaret firmasına karşı sosyal mühendisliği, yaklaşık 116.500 rsETH basılmasına ve yaklaşık 292 milyon dolarlık değerin çalınmasına izin veren sofistike bir zincirler arası istismar ile birleştirdiği iddia ediliyor. LayerZero, KelpDAO tarafından kullanılan köprü altyapısını sağlıyor ve Kuzey Kore'nin Lazarus Grubu'nu rsETH istismarının "muhtemel faili" olarak nitelendirdi.

Sonuç olarak, Lazarus'un 2023 ve 2024'te yaklaşık 2 milyar dolarlık sanal varlık çaldığı belirtiliyor. DeFi'nin zaten rekor düzeyde hacklerle karşı karşıya olduğu bir dönemde, bu tür saldırılar, devlet destekli saldırganların kripto riskine nasıl sistematik olarak dahil olduğunu gösteriyor.