Kuzey Koreli bir BT çalışanının ele geçirilmiş bir cihazı, 680.000 dolarlık Favrr hack'inin arkasındaki ekibin iç işleyişini ve kripto projelerini hedef almak için Google araçlarını nasıl kullandıklarını ortaya çıkardı.
Özet
Kuzey Koreli bir BT çalışanına ait bir tehlikeye maruz kalmış cihaz, tehdit aktörlerinin iç işleyişini ortaya çıkardı.
Kanıtlar, operatörlerin kripto firmalarına sızmak için Google destekli araçlar, AnyDesk ve VPN'ler kullandığını göstermektedir.
ZachXBT adlı zincir üstü dedektife göre, iz, isimlendirilmemiş bir kaynağın çalışanlardan birinin bilgisayarına erişim sağlamasıyla başladı; bu, operatörlerin planlarını ve şemalarını nasıl gerçekleştirdiklerini ortaya koyan ekran görüntüleri, Google Drive çıktıları ve Chrome profilleri buldu.
Cüzdan faaliyetlerini ve dijital parmak izlerini kullanarak, ZachXBT kaynak materyali doğruladı ve grubun kripto para işlemlerini Haziran 2025'teki Favrr hayran token pazarının istismarına bağladı. "0x78e1a" cüzdan adresi, olaydan çalınan fonlarla doğrudan bağlantılar gösterdi.
Operasyonun İçinde
Kompromize olan cihaz, küçük ekibin — toplamda altı üye — en az 31 sahte kimlik paylaştığını gösterdi. Blockchain geliştirme işleri almak için, devlet tarafından verilen kimlikler ve telefon numaraları topladılar, hatta kimliklerini tamamlamak için LinkedIn ve Upwork hesapları satın aldılar.
Cihazda bulunan bir mülakat senaryosu, Polygon Labs, OpenSea ve Chainlink gibi tanınmış blok zinciri firmalarındaki deneyimlerini övünerek anlattıklarını gösterdi.
Google araçları, onların organize iş akışında merkezi bir rol oynadı. Tehdit aktörlerinin, bütçeleri ve takvimleri takip etmek için drive tabloları kullandıkları, Google Çeviri'nin ise Korece ile İngilizce arasındaki dil farkını kapattığı bulunmuştur.
Cihazdan alınan bilgiler arasında, BT çalışanlarının bilgisayar kiraladığı ve operasyonları için yeni hesaplar satın almak üzere VPN erişimi için ödeme yaptığını gösteren bir hesap tablosu vardı.
Ekip ayrıca, gerçek konumlarını gizleyerek, müşteri sistemlerini kontrol etmelerine olanak tanıyan AnyDesk gibi uzaktan erişim araçlarına güvendi. VPN kayıtları, Kuzey Kore IP adreslerini gizleyerek, faaliyetlerini birden fazla bölgeyle ilişkilendirdi.
Ek bulgular, grubun farklı blok zincirlerde token dağıtma yollarını araştırdığını, Avrupa'daki AI firmalarını gözlemlediğini ve kripto alanında yeni hedefler belirlediğini ortaya koydu.
Kuzey Koreli tehdit aktörleri uzaktan iş kullanıyor
ZachXBT, birçok siber güvenlik raporunda belirtilen aynı modeli buldu - Kuzey Koreli BT çalışanlarının kripto sektörüne sızmak için yasal uzaktan işler bulması. Serbest geliştiriciler olarak kendilerini tanıtarak, kod depolarına, arka uç sistemlerine ve cüzdan altyapısına erişim sağlıyorlar.
Cihazda ortaya çıkan bir belge, muhtemelen potansiyel işverenlerle yapılan görüşmeler sırasında ekranda veya yakınında tutulması amaçlanan görüşme notları ve hazırlık materyalleri idi.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Kuzey Koreli BT çalışanları, kripto şirketlerini hedef almak için 30'dan fazla sahte kimlik kullandı: rapor
Kuzey Koreli bir BT çalışanının ele geçirilmiş bir cihazı, 680.000 dolarlık Favrr hack'inin arkasındaki ekibin iç işleyişini ve kripto projelerini hedef almak için Google araçlarını nasıl kullandıklarını ortaya çıkardı.
Özet
ZachXBT adlı zincir üstü dedektife göre, iz, isimlendirilmemiş bir kaynağın çalışanlardan birinin bilgisayarına erişim sağlamasıyla başladı; bu, operatörlerin planlarını ve şemalarını nasıl gerçekleştirdiklerini ortaya koyan ekran görüntüleri, Google Drive çıktıları ve Chrome profilleri buldu.
Cüzdan faaliyetlerini ve dijital parmak izlerini kullanarak, ZachXBT kaynak materyali doğruladı ve grubun kripto para işlemlerini Haziran 2025'teki Favrr hayran token pazarının istismarına bağladı. "0x78e1a" cüzdan adresi, olaydan çalınan fonlarla doğrudan bağlantılar gösterdi.
Operasyonun İçinde
Kompromize olan cihaz, küçük ekibin — toplamda altı üye — en az 31 sahte kimlik paylaştığını gösterdi. Blockchain geliştirme işleri almak için, devlet tarafından verilen kimlikler ve telefon numaraları topladılar, hatta kimliklerini tamamlamak için LinkedIn ve Upwork hesapları satın aldılar.
Cihazda bulunan bir mülakat senaryosu, Polygon Labs, OpenSea ve Chainlink gibi tanınmış blok zinciri firmalarındaki deneyimlerini övünerek anlattıklarını gösterdi.
Google araçları, onların organize iş akışında merkezi bir rol oynadı. Tehdit aktörlerinin, bütçeleri ve takvimleri takip etmek için drive tabloları kullandıkları, Google Çeviri'nin ise Korece ile İngilizce arasındaki dil farkını kapattığı bulunmuştur.
Cihazdan alınan bilgiler arasında, BT çalışanlarının bilgisayar kiraladığı ve operasyonları için yeni hesaplar satın almak üzere VPN erişimi için ödeme yaptığını gösteren bir hesap tablosu vardı.
Ekip ayrıca, gerçek konumlarını gizleyerek, müşteri sistemlerini kontrol etmelerine olanak tanıyan AnyDesk gibi uzaktan erişim araçlarına güvendi. VPN kayıtları, Kuzey Kore IP adreslerini gizleyerek, faaliyetlerini birden fazla bölgeyle ilişkilendirdi.
Ek bulgular, grubun farklı blok zincirlerde token dağıtma yollarını araştırdığını, Avrupa'daki AI firmalarını gözlemlediğini ve kripto alanında yeni hedefler belirlediğini ortaya koydu.
Kuzey Koreli tehdit aktörleri uzaktan iş kullanıyor
ZachXBT, birçok siber güvenlik raporunda belirtilen aynı modeli buldu - Kuzey Koreli BT çalışanlarının kripto sektörüne sızmak için yasal uzaktan işler bulması. Serbest geliştiriciler olarak kendilerini tanıtarak, kod depolarına, arka uç sistemlerine ve cüzdan altyapısına erişim sağlıyorlar.
Cihazda ortaya çıkan bir belge, muhtemelen potansiyel işverenlerle yapılan görüşmeler sırasında ekranda veya yakınında tutulması amaçlanan görüşme notları ve hazırlık materyalleri idi.