Lazarus DeathNote kümesinin evrimi
Kaspersky, kısa süre önce Lazarus siber saldırı grubuna ait kümelerden biri olan DeathNote’u gözlem altına aldı.
2019 yılında dünya genelinde kripto parayla ilgili şirketlere yönelik saldırılarla işe başlayan DeathNote, yıllar içinde büyük bir dönüşüm geçirdi. Grup 2022’nin sonunda Avrupa, Latin Amerika, Güney Kore ve Afrika’daki BT ve savunma şirketlerini etkileyen hedefli saldırıların sorumlusu haline geldi. Kaspersky’nin son raporu, DeathNote’un hedeflerindeki değişimin yanı sıra son dört yılda araçlarındaki, tekniklerindeki ve prosedürlerindeki gelişimi ve iyileştirmeyi gözler önüne seriyor.
Kötü şöhretliyle bilinen tehdit aktörü Lazarus, uzun süredir ısrarla kripto para ile ilgili işletmeleri hedef alıyor. Kaspersky, bu tehdit aktörünün faaliyetlerini izlerken bir vakada önemli ölçüde değiştirilmiş bir kötü amaçlı yazılımın kullanıldığını fark etti. Kaspersky uzmanları, Ekim 2019’da VirusTotal’e yüklenen şüpheli bir belgeyle karşılaştı. Buna göre kötü amaçlı yazılım hazırlayan kişi, kripto para birimiyle ilgili sahte belgeleri devreye sokmuştu. Bunlar arasında belirli bir kripto para biriminin satın alınmasıyla ilgili bir anket, belirli bir kripto para birimine giriş için kılavuzlar ve Bitcoin madencilik şirketine giriş bilgileri yer alıyordu. DeathNote kampanyası ilk kez Kıbrıs, Amerika Birleşik Devletleri, Tayvan ve Hong Kong’da kripto para birimiyle ilgilenen kişileri ve şirketleri hedef aldı.
Bununla birlikte Kaspersky, Nisan 2020’de DeathNote’un bulaşma vektörlerinde önemli bir değişim gözlemledi. Araştırmalar, DeathNote kümesinin Doğu Avrupa’da savunma sanayiiyle bağlantılı otomotiv şirketlerini ve akademik kuruluşları hedef aldığını gösteriyordu. Bu sırada tehdit aktörü, savunma sanayi müteahhitlerinden ve diplomatik bağlantılardan gelen iş tanımlarıyla ilgili dokümanları sahteleriyle değiştirmekle meşguldü. Bunun yanı sıra her biri silah haline dönüştürülmüş belgeler, uzaktan şablon enjeksiyon tekniğiyle bulaşma zincirine dahil edilen ve Truva atı özelliği taşıyan açık kaynaklı PDF görüntüleyici yazılımıyla destekleniyor ve saldırı daha güçlü hale getiriliyordu. Söz konusu bulaşma yöntemlerinin her ikisi de kurbanın bilgilerini sızdırmaktan sorumlu olan DeathNote downloader yazılımının yüklenmesiyle sonuçlanıyordu.
Mayıs 2021’de Kaspersky, Avrupa’daki ağ cihazı ve sunucu izleme çözümleri sunan bir BT şirketinin DeathNote kümesi tarafından ele geçirildiğini fark etti. Ayrıca Haziran 2021’in başlarında Lazarus alt grubu Güney Kore’deki hedeflere bulaşmak için yeni bir mekanizma kullanmaya başladı. Burada araştırmacıların dikkatini çeken şey, kötü amaçlı yazılımın ilk aşamasının Güney Kore’de güvenlik için yaygın olarak kullanılan meşru bir yazılım tarafından yürütülmesiydi.
Kaspersky araştırmacıları 2022 yılında DeathNote’u izlerken, kümenin Latin Amerika’daki bir savunma yüklenicisine yapılan saldırılardan sorumlu olduğunu keşfetti. İlk bulaşma vektörü, diğer savunma sektörü hedeflerinde olduğu gibi özel hazırlanmış bir PDF dosyası ile Truva atı haline getirilmiş bir PDF okuyucunun kullanımını içeriyordu. Ancak bu istisnai durumda aktör nihai yükü çalıştırmak için bir yan yükleme tekniği kullanıyordu.
İlk olarak Temmuz 2022’de keşfedilen ve halen devam etmekte olan bir kampanyada, Lazarus grubunun Afrika’daki bir savunma yüklenicisine başarıyla sızdığı ortaya çıktı. İlk bulaşma Skype mesajlaşma yazılımı aracılığıyla gönderilen şüpheli bir PDF uygulamasından kaynaklanmıştı. PDF okuyucu çalıştırıldığında, aynı dizinde yasal dosyanın yanı sıra (CameraSettingsUIHost.exe) kötü amaçlı ikinci bir dosya daha oluşturuyordu (DUI70.dll).
Kaspersky GReAT Güvenlik Araştırma Lideri Seongsu Park, şunları söyledi: Lazarus grubu ünlü ve son derece yetenekli bir tehdit aktörü. DeathNote kümesi üzerine yaptığımız analiz, yıllar içinde grubun taktiklerinde, tekniklerinde ve prosedürlerinde hızlı bir evrim yaşandığını ortaya koyuyor. Bu kampanyada Lazarus’un kripto ile ilgili işlerle sınırlı kalmayıp, çok daha ileri gittiğini gördük. Grup güvenlik kurumlarını tehlikeye atmak için hem yasal yazılımlar hem de kötü amaçlı dosyalar kullanıyor. Lazarus grubu yaklaşımlarını geliştirmeye devam ettikçe, kurumların tetikte olması ve kötü niyetli faaliyetlerine karşı savunmak için proaktif önlemler alması büyük önem kazanıyor.”
Lazarus’un DeathNote kümesi, kampanyanın farklı aşamaları ve TTP’leri hakkında daha fazla bilgi edinmek için Securelist’teki raporun tamamına göz atabilirsiniz.
Kaspersky araştırmacıları, bilinen veya bilinmeyen tehdit aktörlerinin hedefli saldırılarının kurbanı olmamak için aşağıdaki önlemlerin alınmasını tavsiye ediyor:
- Kurumunuzda siber güvenlik denetimi gerçekleştirin. Çevrede veya ağ bünyesinde keşfedilen zafiyetleri veya kötü amaçlı unsurları düzeltmek için ağlarınızı sürekli izleyin.
- Hedefli saldırıların çoğu kimlik avı veya diğer sosyal mühendislik teknikleriyle başladığı için personelinize temel siber güvenlik hijyeni eğitimi verin.
- Çalışanlarınızı yazılımları ve mobil uygulamaları yalnızca güvenilir kaynaklardan ve resmi uygulama mağazalarından indirmeleri konusunda eğitin.
- Gelişmiş tehditlere karşı zamanında olay tespiti ve müdahalesi sağlamak için EDR ürünü kullanın. Kaspersky Managed Detection and Response gibi bir hizmet, hedefli saldırılara karşı tehdit avlama yetenekleri sağlar.
- Hesap hırsızlığını, doğrulanmamış işlemleri ve kara para aklamayı tespit edip önleyerek kripto para işlemlerini koruyabilen bir dolandırıcılık önleme çözümünü devreye alın.