Kaspersky, Lazarus siber hücum kümesine ilişkin DeathNote'u müşahede altına aldı

Kaspersky, Lazarus siber hücum kümesine ilişkin DeathNote’u müşahede altına aldı

Kaspersky‘nin son raporu, DeathNote’un amaçlarındaki değişimin yanı sıra son dört yılda araçlarındaki, tekniklerindeki ve prosedürlerindeki gelişimi ve güzelleştirmeyi gözler önüne serdi.

Şirketten yapılan açıklamaya nazaran Kaspersky, kısa mühlet evvel Lazarus siber atak kümesine ilişkin kümelerden biri olan DeathNote’u müşahede altına aldı.

2019 yılında dünya genelinde kripto parayla ilgili şirketlere yönelik hücumlarla işe başlayan DeathNote, yıllar içinde büyük bir dönüşüm geçirdi.

Grup 2022’nin sonunda Avrupa, Latin Amerika, Güney Kore ve Afrika’daki BT ve savunma şirketlerini etkileyen gayeli atakların sorumlusu haline geldi.

Kaspersky‘nin son raporu, DeathNote’un gayelerindeki değişimin yanı sıra son dört yılda araçlarındaki, tekniklerindeki ve prosedürlerindeki gelişimi ve uygunlaştırmayı gözler önüne seriyor.

Kötü şöhretliyle bilinen tehdit aktörü Lazarus, uzun müddettir ısrarla kripto para ile ilgili işletmeleri amaç alıyor. Kaspersky, bu tehdit aktörünün faaliyetlerini izlerken bir olayda kıymetli ölçüde değiştirilmiş bir makus gayeli yazılımın kullanıldığını fark etti.

Kaspersky uzmanları, Ekim 2019’da VirusTotal’e yüklenen kuşkulu bir evrakla karşılaştı. Buna nazaran makus hedefli yazılım hazırlayan kişi, kripto para ünitesiyle ilgili geçersiz dokümanları devreye sokmuştu.

Bunlar ortasında muhakkak bir kripto para ünitesinin satın alınmasıyla ilgili bir anket, muhakkak bir kripto para ünitesine giriş için kılavuzlar ve Bitcoin madencilik şirketine giriş bilgileri yer alıyordu. DeathNote kampanyası birinci defa Kıbrıs, Amerika Birleşik Devletleri, Tayvan ve Hong Kong’da kripto para ünitesiyle ilgilenen bireyleri ve şirketleri amaç aldı.

Nisan 2020’de DeathNote’un bulaşma vektörlerinde değerli değişim gözlemlendi

Verilen bilgiye nazaran Kaspersky, Nisan 2020’de DeathNote’un bulaşma vektörlerinde kıymetli bir değişim gözlemledi. Araştırmalar, DeathNote kümesinin Doğu Avrupa’da savunma sanayiiyle temaslı otomotiv şirketlerini ve akademik kuruluşları amaç aldığını gösteriyordu.

Bu sırada tehdit aktörü, savunma sanayi müteahhitlerinden ve diplomatik temaslardan gelen iş tarifleriyle ilgili dokümanları sahteleriyle değiştirmekle meşguldü. Bunun yanı sıra her biri silah haline dönüştürülmüş evraklar, uzaktan şablon enjeksiyon tekniğiyle bulaşma zincirine dahil edilen ve Truva atı özelliği taşıyan açık kaynaklı PDF görüntüleyici yazılımıyla destekleniyor ve hücum daha güçlü hale getiriliyordu.

Söz konusu bulaşma yollarının her ikisi de kurbanın bilgilerini sızdırmaktan sorumlu olan DeathNote downloader yazılımının yüklenmesiyle sonuçlanıyordu.

Mayıs 2021’de Kaspersky, Avrupa’daki ağ aygıtı ve sunucu izleme tahlilleri sunan bir BT şirketinin DeathNote kümesi tarafından ele geçirildiğini fark etti. Ayrıyeten Haziran 2021’in başlarında Lazarus alt kümesi Güney Kore’deki amaçlara bulaşmak için yeni bir sistem kullanmaya başladı. Burada araştırmacıların dikkatini çeken şey, makus emelli yazılımın birinci evresinin Güney Kore’de güvenlik için yaygın olarak kullanılan legal bir yazılım tarafından yürütülmesiydi.

Kaspersky araştırmacıları 2022 yılında DeathNote’u izlerken, kümenin Latin Amerika’daki bir savunma yüklenicisine yapılan hücumlardan sorumlu olduğunu keşfetti. Birinci bulaşma vektörü, öteki savunma dalı gayelerinde olduğu üzere özel hazırlanmış bir PDF belgesi ile Truva atı haline getirilmiş bir PDF okuyucunun kullanımını içeriyordu. Lakin bu istisnai durumda aktör en son yükü çalıştırmak için bir yan yükleme tekniği kullanıyordu.

İlk olarak Temmuz 2022’de keşfedilen ve hala devam etmekte olan bir kampanyada, Lazarus kümesinin Afrika’daki bir savunma yüklenicisine muvaffakiyetle sızdığı ortaya çıktı. Birinci bulaşma Skype iletileşme yazılımı aracılığıyla gönderilen kuşkulu bir PDF uygulamasından kaynaklanmıştı. PDF okuyucu çalıştırıldığında, birebir dizinde yasal evrakın yanı sıra (CameraSettingsUIHost.exe) berbat emelli ikinci bir evrak daha oluşturuyordu (DUI70.dll).

Kaspersky Managed Detection and Response üzere bir hizmet, maksatlı akınlara karşı tehdit avlama yetenekleri sağlar”

Açıklamada görüşlerine yer verilen Kaspersky GReAT Güvenlik Araştırma Başkanı Seongsu Park, Lazarus kümesinin ünlü ve son derece yetenekli bir tehdit aktörü olduğunu belirterek, “DeathNote kümesi üzerine yaptığımız tahlil, yıllar içinde kümenin taktiklerinde, tekniklerinde ve prosedürlerinde süratli bir evrim yaşandığını ortaya koyuyor.

Bu kampanyada Lazarus’un kripto ile ilgili işlerle hudutlu kalmayıp, çok daha ileri gittiğini gördük. Küme güvenlik kurumlarını tehlikeye atmak için hem yasal yazılımlar hem de berbat emelli evraklar kullanıyor. Lazarus kümesi yaklaşımlarını geliştirmeye devam ettikçe, kurumların tetikte olması ve makus niyetli faaliyetlerine karşı savunmak için proaktif tedbirler alması büyük ehemmiyet kazanıyor.” sözlerini kullandı.

Kaspersky araştırmacıları, bilinen yahut bilinmeyen tehdit aktörlerinin maksatlı ataklarının kurbanı olmamak için şu tekliflerde bulundu:

“Kurumunuzda siber güvenlik kontrolü gerçekleştirin. Etrafta yahut ağ bünyesinde keşfedilen zafiyetleri yahut makus emelli ögeleri düzeltmek için ağlarınızı daima izleyin. Gayeli hücumların birden fazla kimlik avı yahut başka toplumsal mühendislik teknikleriyle başladığı için çalışanınıza temel siber güvenlik hijyeni eğitimi verin. Çalışanlarınızı yazılımları ve taşınabilir uygulamaları sadece muteber kaynaklardan ve resmi uygulama mağazalarından indirmeleri konusunda eğitin. Gelişmiş tehditlere karşı vaktinde olay tespiti ve müdahalesi sağlamak için EDR eseri kullanın.

Kaspersky Managed Detection and Response üzere bir hizmet, amaçlı taarruzlara karşı tehdit avlama yetenekleri sağlar. Hesap hırsızlığını, doğrulanmamış süreçleri ve kara para aklamayı tespit edip önleyerek kripto para süreçlerini koruyabilen bir dolandırıcılık tedbire tahlilini devreye alın.”

Kaynak: AA / Fatma Eda Topcu – İktisat
Dünya