Gizlənmək üçün təcavüzkarlar onlayn tank oyununun zərərli saytını yaradıblar
Kaspersky GReAT (Kaspersky-nin Təhdidlər üzrə Qlobal Tədqiqat və Təhlil Mərkəzi) mütəxəssisləri “Lazarus” qrupunun mürəkkəb hücum kampaniyasını aşkar ediblər. Bu barədə Balidə keçirilən “Təhlükəsizlik Analitikləri Sammiti 2024”də məlumat verilib. Dünya üzrə istifadəçilərə hücum etmək üçün təcavüzkarlar onlayn tank oyunu üçün zərərli veb sayt yaradıb, orada kriptovalyutada mükafatlar əldə etmək imkanı təqdim ediblər. Bu vasitə ilə onlar “Google Chrome” brauzerində cihazları yoluxdurmağa və kripto pul kisəsinə aid məlumatları oğurlamağa imkan verən “sıfır gün” boşluğundan istifadə ediblər. Bu boşluq indi aradan qaldırılıb və oyunun veb saytı bloklanıb.
“Lazarus”un əlamətləri hansılardır. 2024-cü ilin may ayında Kaspersky mütəxəssisləri “Manuscrypt” arxa qapısından istifadə edən hücumu aşkar ediblər. Bu, 2013-cü ildən bəri “Lazarus” qrupuna xas bir vasitədir. Kaspersky GReAT-ın məlumatına görə, o, müxtəlif sənayelərdən olan təşkilatları hədəf alan 50-dən çox unikal kampaniyada istifadə edilib. Əlavə təhlillər göstərib ki, bundan əvvəl bu kampaniya “Google Chrome” brauzerində istifadə edilib və onun köməyi ilə bu kampaniyalar aşkar edilib. “Lazarus” sıfır gün boşluğundan istifadə edən azsaylı kiber qruplardan biridir. Bu üsul təcavüzkarlar arasında geniş yayılmayıb, çünki vaxt və bilik daxil olmaqla, çoxlu resurs tələb edir.
Oyun nə olub. Saytda istifadəçilərə oyunun “Play-To-Earn” (Qazanmaq üçün oyna) modelinə əsaslanan sınaq versiyasını yükləmək təklif olunub. Oyunun mahiyyəti dünya üzrə rəqiblərlə guya kriptovalyuta mükafatları qazanmağın mümkün olduğu virtual NFT tanklarda döyüşmək olub. Kaspersky mütəxəssisləri oyunun həqiqətən işə salına bildiyini müəyyən ediblər.
Qurbanları cəlb etmək və onların etimadını qazanmaq üçün təcavüzkarlar oyunu təşviq etmək məqsədilə düşünülmüş bir kampaniya hazırlayıblar, məsələn, beynəlxalq sosial şəbəkələrdə hesablar yaradıb və bir neçə ay ərzində bunu reklam ediblər. Bunu edərkən onlar neyron şəbəkələrdən istifadə edərək öncədən çəkilmiş şəkillərdən istifadə ediblər. Təcavüzkarlar həmçinin öz oyunlarını reklam etmək üçün kriptovalyuta sənayesindən influenserləri cəlb etməyə çalışıb və sonra, iddialara görə, onların hesablarına da hücum etməyə cəhd ediblər.
Kaspersky GReAT mütəxəssisləri təcavüzkarlar tərəfindən yaradılmış versiya üçün prototip rolunu oynayan real oyun aşkarlayıblar. Dizayn demək olar ki, tamamilə eynidir: fərqlər yalnız loqonun yerləşməsi və vizual dizaynın keyfiyyətinin aşağı olmasıdır. Bu, ehtimal ki, oğurlanmış mənbə koduna əsaslanıb. Təcavüzkarlar zərərli oyunu tanıtmaq üçün kampaniya başlatdıqdan qısa müddət sonra prototip tərtibatçıları onların pul kisəsindən 20.000 dollar kriptovalyuta oğurlandığını bildiriblər.
Oyun nə üçün lazımdır. Oyun hücumçular üçün sadəcə bir maskalanma vasitəsi olub. Saytda istifadəçiyə “Google Chrome” brauzeri üçün eksployt yükləməyə və icra etməyə imkan verən kiçik bir kod fraqmenti yer alıb. Bunun üçün iki boşluqdan istifadə edilib. Onlardan biri əvvəllər məlum olmayıb – bu, “JavaScript” və “WebAssembly” açıq mənbə kodları əsasında Google-un V8 mühərrikində istifadə edilən məlumat növləri arasında uyğunsuzluq xətasıdır. Bu, qurbanın cihazına nəzarəti əldə etməyə imkan verib: ixtiyari kodu icra etmək, təhlükəsizlik funksiyalarından yan keçmək və müxtəlif zərərli fəaliyyətlər həyata keçirmək üçün imkanlar yaranıb. Cihazı yoluxdurmaq üçün vebsayta daxil olmaq kifayət edib, hətta oyunu başlamağa belə ehtiyac olmayıb. Kaspersky boşluq barədə Google-a məlumat verib, bundan sonra şirkət onu aradan qaldırıb. O, CVE-2024-4947 identifikatorunu əldə edib. Təcavüzkarlar “Google Chrome”un mühafizəsindən yan keçmək üçün “V8 qum qutusu” adlanan daha bir boşluqdan istifadə ediblər.
“Biz maliyyə qazancı əldə etməyə yönəlmiş çoxlu kampaniyalar görmüşük, lakin bu hal unikaldır. Təcavüzkarlar adi üsullardan kənara çıxıblar: onlar “Google Chrome”da “sıfır gün” boşluğundan istifadə edərək cihazları yoluxdurmaq üçün örtük kimi tam funksiyalı oyundan istifadə ediblər. Söhbət “Lazarus” kimi kiberqrupun hücumundan gedirsə, hətta sosial şəbəkədə və ya e-poçtda linkə klikləmək kimi zərərsiz görünən hərəkətlər də kompüterin və ya bütün korporativ şəbəkənin tam kompromisinə gətirib çıxara bilər. Hücum edənlər bu kampaniyanı inkişaf etdirmək üçün çox səy göstəriblər ki, bu da onların planlarının nə qədər iddialı olduğunu göstərir. Potensial olaraq, hücumlar dünya üzrə istifadəçilərə və təşkilatlara təsir edə bilər”, – deyə Kaspersky GReAT-ın aparıcı eksperti Boris Larin bildirir.
Yeni Lazarus kampaniyası haqqında daha ətraflı məlumatı burada oxuya bilərsiniz: https://securelist.ru/lazarus-apt-steals-crypto-with-a-tank-game/110837/
Kaspersky GReAT haqqında
Kaspersky-nin Təhdidlər üzrə Qlobal Tədqiqat və Təhlil Mərkəzi GReAT 2008-ci ildə yaradılıb. Onun vəzifələrinə ən mürəkkəb hücumların, kibercasusluq kampaniyalarının, yeni yoluxma üsullarının və “sıfır gün” boşluqlarından istifadə edən eksploytun axtarışı və tədqiqi daxildir. Bu gün mərkəzin komandasına dünya üzrə – Avropa, Rusiya, Şimali və Cənubi Amerika, Asiya və Yaxın Şərqdə işləyən 40-dan çox mütəxəssis daxildir. Onlar kibercasusluq və kibertəxribat kampaniyaları da daxil olmaqla ən mürəkkəb hücumların araşdırılmasında öz təcrübələri ilə tanınırlar.