Kaspersky, Lazarus siber atak kümesine ilişkin DeathNote’u müşahede altına aldı

Kaspersky’nin son raporu, DeathNote’un gayelerindeki değişimin yanı sıra son dört yılda araçlarındaki, tekniklerindeki ve prosedürlerindeki gelişimi ve güzelleştirmeyi gözler önüne serdi.

Şirketten yapılan açıklamaya nazaran Kaspersky, kısa müddet evvel Lazarus siber hücum kümesine ilişkin kümelerden biri olan DeathNote’u müşahede altına aldı.

2019 yılında dünya genelinde kripto parayla ilgili şirketlere yönelik ataklarla işe başlayan DeathNote, yıllar içinde büyük bir dönüşüm geçirdi.

Grup 2022’nin sonunda Avrupa, Latin Amerika, Güney Kore ve Afrika’daki BT ve savunma şirketlerini etkileyen maksatlı atakların sorumlusu haline geldi.

Kötü şöhretliyle bilinen tehdit aktörü Lazarus, uzun müddettir ısrarla kripto para ile ilgili işletmeleri maksat alıyor. Kaspersky, bu tehdit aktörünün faaliyetlerini izlerken bir hadisede değerli ölçüde değiştirilmiş bir makûs maksatlı yazılımın kullanıldığını fark etti.

Kaspersky uzmanları, Ekim 2019’da VirusTotal’e yüklenen kuşkulu bir dokümanla karşılaştı. Buna nazaran makus gayeli yazılım hazırlayan kişi, kripto para ünitesiyle ilgili düzmece evrakları devreye sokmuştu.

Bunlar ortasında belli bir kripto para ünitesinin satın alınmasıyla ilgili bir anket, belli bir kripto para ünitesine giriş için kılavuzlar ve Bitcoin madencilik şirketine giriş bilgileri yer alıyordu. DeathNote kampanyası birinci defa Kıbrıs, Amerika Birleşik Devletleri, Tayvan ve Hong Kong’da kripto para ünitesiyle ilgilenen bireyleri ve şirketleri amaç aldı.

Nisan 2020’de DeathNote’un bulaşma vektörlerinde kıymetli değişim gözlemlendi

Verilen bilgiye nazaran Kaspersky, Nisan 2020’de DeathNote’un bulaşma vektörlerinde değerli bir değişim gözlemledi. Araştırmalar, DeathNote kümesinin Doğu Avrupa’da savunma sanayiiyle temaslı otomotiv şirketlerini ve akademik kuruluşları gaye aldığını gösteriyordu.

Bu sırada tehdit aktörü, savunma sanayi müteahhitlerinden ve diplomatik ilişkilerden gelen iş tarifleriyle ilgili dokümanları sahteleriyle değiştirmekle meşguldü. Bunun yanı sıra her biri silah haline dönüştürülmüş dokümanlar, uzaktan şablon enjeksiyon tekniğiyle bulaşma zincirine dahil edilen ve Truva atı özelliği taşıyan açık kaynaklı PDF görüntüleyici yazılımıyla destekleniyor ve atak daha güçlü hale getiriliyordu.

Söz konusu bulaşma prosedürlerinin her ikisi de kurbanın bilgilerini sızdırmaktan sorumlu olan DeathNote downloader yazılımının yüklenmesiyle sonuçlanıyordu.

Mayıs 2021’de Kaspersky, Avrupa’daki ağ aygıtı ve sunucu izleme tahlilleri sunan bir BT şirketinin DeathNote kümesi tarafından ele geçirildiğini fark etti. Ayrıyeten Haziran 2021’in başlarında Lazarus alt kümesi Güney Kore’deki gayelere bulaşmak için yeni bir sistem kullanmaya başladı. Burada araştırmacıların dikkatini çeken şey, makûs emelli yazılımın birinci basamağının Güney Kore’de güvenlik için yaygın olarak kullanılan yasal bir yazılım tarafından yürütülmesiydi.

Kaspersky araştırmacıları 2022 yılında DeathNote’u izlerken, kümenin Latin Amerika’daki bir savunma yüklenicisine yapılan akınlardan sorumlu olduğunu keşfetti. Birinci bulaşma vektörü, öteki savunma bölümü amaçlarında olduğu üzere özel hazırlanmış bir PDF evrakı ile Truva atı haline getirilmiş bir PDF okuyucunun kullanımını içeriyordu. Fakat bu istisnai durumda aktör sonuncu yükü çalıştırmak için bir yan yükleme tekniği kullanıyordu.

İlk olarak Temmuz 2022’de keşfedilen ve hala devam etmekte olan bir kampanyada, Lazarus kümesinin Afrika’daki bir savunma yüklenicisine muvaffakiyetle sızdığı ortaya çıktı. Birinci bulaşma Skype iletileşme yazılımı aracılığıyla gönderilen kuşkulu bir PDF uygulamasından kaynaklanmıştı. PDF okuyucu çalıştırıldığında, tıpkı dizinde yasal evrakın yanı sıra (CameraSettingsUIHost.exe) makus emelli ikinci bir evrak daha oluşturuyordu (DUI70.dll).

“Kaspersky Managed Detection and Response üzere bir hizmet, gayeli akınlara karşı tehdit avlama yetenekleri sağlar”

Açıklamada görüşlerine yer verilen Kaspersky GReAT Güvenlik Araştırma Başkanı Seongsu Park, Lazarus kümesinin ünlü ve son derece yetenekli bir tehdit aktörü olduğunu belirterek, “DeathNote kümesi üzerine yaptığımız tahlil, yıllar içinde kümenin taktiklerinde, tekniklerinde ve prosedürlerinde süratli bir evrim yaşandığını ortaya koyuyor.

Bu kampanyada Lazarus’un kripto ile ilgili işlerle hudutlu kalmayıp, çok daha ileri gittiğini gördük. Küme güvenlik kurumlarını tehlikeye atmak için hem yasal yazılımlar hem de makus hedefli evraklar kullanıyor. Lazarus kümesi yaklaşımlarını geliştirmeye devam ettikçe, kurumların tetikte olması ve berbat niyetli faaliyetlerine karşı savunmak için proaktif tedbirler alması büyük ehemmiyet kazanıyor.” sözlerini kullandı.

Kaspersky araştırmacıları, bilinen yahut bilinmeyen tehdit aktörlerinin gayeli ataklarının kurbanı olmamak için şu tekliflerde bulundu:

“Kurumunuzda siber güvenlik kontrolü gerçekleştirin. Etrafta yahut ağ bünyesinde keşfedilen zafiyetleri yahut berbat gayeli ögeleri düzeltmek için ağlarınızı daima izleyin. Amaçlı atakların birden fazla kimlik avı yahut öbür toplumsal mühendislik teknikleriyle başladığı için işçinize temel siber güvenlik hijyeni eğitimi verin. Çalışanlarınızı yazılımları ve taşınabilir uygulamaları sadece sağlam kaynaklardan ve resmi uygulama mağazalarından indirmeleri konusunda eğitin. Gelişmiş tehditlere karşı vaktinde olay tespiti ve müdahalesi sağlamak için EDR eseri kullanın.

Kaspersky Managed Detection and Response üzere bir hizmet, amaçlı akınlara karşı tehdit avlama yetenekleri sağlar. Hesap hırsızlığını, doğrulanmamış süreçleri ve kara para aklamayı tespit edip önleyerek kripto para süreçlerini koruyabilen bir dolandırıcılık tedbire tahlilini devreye alın.”