Lazarus, LinkedIn ve WhatsApp’ı berbata kullanarak dünya çapındaki havacılık ve savunma yüklenicilerine saldırıyor
ESET Araştırma Ünitesi, ESET World konferansı kapsamında Lazarus APT kümesi ve bu kümenin 2021’in sonları ile Mart 2022 ortasında dünyanın dört bir yanındaki savunma yüklenicilerine yönelik taarruzları hakkında yeni bilgiler paylaştı.
ESET Telemetrisine nazaran amaçları Fransa, İtalya, İspanya, Almanya, Çek Cumhuriyeti, Hollanda, Polonya, Ukrayna, Türkiye, Katar ve Brezilya. Uydurma işe alım kampanyaları için LinkedIn ve WhatsApp üzere hizmetleri kullanan Lazarus ABD hükümetine nazaran Kuzey Kore rejimiyle kontaklı.
ESET Tehdit Araştırması Yöneticisi Jean-Ian Boutin, Lazarus kümesi tarafından 2021’in sonlarından Mart 2022’ye kadar dünyanın dört bir yanındaki savunma yüklenicilerine karşı yürütülen çeşitli yeni kampanyaları inceledi. ESET telemetrisine nazaran Lazarus, Avrupa ve Latin Amerika’daki şirketleri gaye alıyor.
Lazarus operasyonunun birincil hedefi siber casusluk olmasına karşın, küme tıpkı vakitte sonucu başarısızlıkla biten para sızdırma operasyonu da yürüttü. Jean-Ian Boutin’e nazaran “Lazarus tehdit kümesi, çekirdek belleğine yazmak için savunmasız bir Dell şoföründen yararlanabilen bir kullanıcı modu bileşeni de dahil olmak üzere farklı bir araç seti dağıtarak ustalığını gösterdi. Bu gelişmiş teknik, güvenlik tahlillerinin izlenmesini atlamak maksadıyla kullanıldı.”
ESET araştırmacıları, 2020 üzere erken bir tarihte, Lazarus’un bir alt kümesi tarafından Avrupalı havacılık ve savunma yüklenicilerine karşı yürütülen ve In(ter)ception operasyonu olarak isimlendirilen bir kampanyayı zati belgelemişlerdi. Bu kampanya sırasında kullanılan zararlılar farklı olsa da hedef yeniden birebirdi: Toplumsal medyayı, bilhassa LinkedIn’i, saldırgan ile çalışanlar ortasında itimat oluşturmak için kullandılar ve ziyanlı bileşeni bâtın bir biçimde göndererek çalışanların açmalarını sağladılar. O devirde Brezilya, Çek Cumhuriyeti, Katar, Türkiye ve Ukrayna’daki şirketler gaye alınmıştı.
ESET araştırmacıları, aksiyonun çoğunlukla Avrupalı şirketlere saldırmaya yönelik olduğuna inanıyorlardı, lakin savunma yüklenicilerine karşı benzeri kampanyalar yürüten bir dizi Lazarus alt kümesini izleyerek, kampanyanın çok daha geniş bir alana yayıldığını fark ettiler. Çeşitli kampanyalarda kullanılan makus gayeli yazılımlar farklı olsa da birinci çalışma biçimi her vakit birebir kaldı: düzmece bir işe alım uzmanı LinkedIn aracılığıyla bir çalışanla irtibata geçti ve sonunda makûs maksatlı bileşenler gönderdi.
Bu bağlamda, geçmişte olduğu üzere tıpkı prosedür ile devam ettiler. Bununla birlikte, ESET araştırmacıları, uydurma işe alım kampanyalarına meşruiyet katmak için yasal işe alım kampanyası öğelerinin kullanıldığını da belgeledi. Ek olarak, saldırganlar berbat gayeli kampanyalarında WhatsApp yahut Slack üzere hizmetleri de kullandılar.
2021’de ABD Adalet Bakanlığı, üç IT programcısını Kuzey Kore ordusu için çalışmakla ve siber hücum düzenlemekle suçladı. ABD hükümetine nazaran, infosec topluluğunda Lazarus Kümesi olarak bilinen Kuzey Kore askeri hacker ünitesine aittiler.
Kaynak: (BHA) – Beyaz Haber Ajansı
