Lazarus, LinkedIn ve WhatsApp’ı Kullanarak Havacılık ve Savunma Yüklenicilerine Saldırıyor

Samuag

New member
ESET Tehdit Araştırması Yöneticisi Jean-Ian Boutin, Lazarus kümesi tarafınca 2021’in sonlarından Mart 2022’ye kadar dünyanın dört bir yanındaki savunma yüklenicilerine karşı yürütülen çeşitli yeni kampanyaları inceledi. ESET telemetrisine bakılırsa Lazarus, Avrupa ve Latin Amerika’daki şirketleri amaç alıyor.

Lazarus operasyonunun birincil maksadı siber casusluk bulunmasına karşın, küme bununla birlikte kararı başarısızlıkla biten para sızdırma operasyonu da yürüttü. Jean-Ian Boutin’e bakılırsa “Lazarus tehdit kümesi, çekirdek belleğine yazmak için savunmasız bir Dell şoföründen yararlanabilen bir kullanıcı modu bileşeni de dahil olmak üzere enteresan bir araç seti dağıtarak ustalığını gösterdi. Bu gelişmiş teknik, güvenlik tahlillerinin izlenmesini atlamak emeliyle kullanıldı.”

Jean-Ian Boutin

ESET araştırmacıları, 2020 üzere erken bir tarihte, Lazarus’un bir alt kümesi tarafınca Avrupalı havacılık ve savunma yüklenicilerine karşı yürütülen ve In(ter)ception operasyonu olarak isimlendirilen bir kampanyayı aslına bakarsan belgelemişlerdi. Bu kampanya sırasında kullanılan zararlılar farklı olsa da gaye bir daha birebirdi: Toplumsal medyayı, bilhassa LinkedIn’i, saldırgan ile çalışanlar içinde itimat oluşturmak için kullandılar ve ziyanlı bileşeni bilinmeyen bir biçimde göndererek çalışanların açmalarını sağladılar. O periyotta Brezilya, Çek Cumhuriyeti, Katar, Türkiye ve Ukrayna’daki şirketler maksat alınmıştı.

ESET araştırmacıları, aksiyonun sıklıkla Avrupalı şirketlere saldırmaya yönelik olduğuna inanıyorlardı, lakin savunma yüklenicilerine karşı benzeri kampanyalar yürüten bir dizi Lazarus alt kümesini izleyerek, kampanyanın fazlaca daha geniş bir alana yayıldığını fark ettiler. Çeşitli kampanyalarda kullanılan makûs maksatlı yazılımlar farklı olsa da birinci çalışma biçimi her vakit tıpkı kaldı: geçersiz bir işe alım uzmanı LinkedIn aracılığıyla bir çalışanla irtibata geçti ve sonunda berbat maksatlı bileşenler gönderdi.

Bu bağlamda, geçmişte olduğu üzere birebir metot ile devam ettiler. birebir vakitte, ESET araştırmacıları, geçersiz işe alım kampanyalarına meşruiyet katmak için yasal işe alım kampanyası öğelerinin kullanıldığını da belgeledi. Ek olarak, saldırganlar makus hedefli kampanyalarında WhatsApp yahut Slack üzere hizmetleri de kullandılar.

2021’de ABD Adalet Bakanlığı, üç IT programcısını Kuzey Kore ordusu için çalışmakla ve siber akın düzenlemekle suçladı. ABD hükümetine nazaran, infosec topluluğunda Lazarus Kümesi olarak bilinen Kuzey Kore askeri hacker ünitesine aittiler.