24 Dec, 2024

Lazarus Grubu, CookiePlus Zararlısı ile Nükleer Mühendisleri Hedef Alıyor

Lazarus Grubu, Ocak 2024’te isimsiz bir nükleer kuruluşun en az iki çalışanını hedef alarak karmaşık bir enfeksiyon zinciri kullanmıştır. Bu saldırılar, Kaspersky tarafından NukeSped olarak da izlenen ve 2020’den beri aktif olan Operation Dream Job adlı siber casusluk kampanyasının bir parçasıdır. Saldırılar, nihayetinde CookiePlus adlı yeni bir modüler arka kapı yazılımının dağıtılmasıyla sonuçlanmıştır.

Lazarus Grubu, genellikle savunma, havacılık, kripto para ve diğer küresel sektörlerdeki geliştiricileri ve çalışanları cazip iş fırsatlarıyla kandırarak, cihazlarına zararlı yazılımlar yüklemektedir. Kaspersky’nin analizine göre, grup bu amaçla iki yöntem kullanmaktadır:

  1. Hedefe özel iş tanımlarını içeren kötü amaçlı belgeler veya truva atı içeren PDF görüntüleyicileri göndermek.
  2. Hedefleri beceri değerlendirmesi için belirli bir sunucuya bağlanmaya ikna etmek amacıyla, truva atı içeren uzaktan erişim araçları (örneğin, VNC veya PuTTY) dağıtmak.

Kaspersky’nin son raporuna göre, Lazarus Grubu ikinci yöntemi kullanarak, ünlü havacılık ve savunma şirketlerinde BT pozisyonları için beceri değerlendirmesi bahanesiyle truva atı içeren bir VNC aracını (AmazonVNC.exe) dağıtmıştır. Bu araç, ISO görüntüleri ve ZIP dosyaları şeklinde gönderilmiştir. Bazı durumlarda, yasal bir UltraVNC sürümü kullanılarak, ZIP arşivine yerleştirilmiş kötü amaçlı bir DLL (vnclang.dll) yüklenmiştir. Bu DLL, MISTPEN adlı bir arka kapı yazılımını yüklemek için bir yükleyici olarak işlev görmektedir.

Ayrıca, Kaspersky, Host A olarak adlandırılan hedefte CookieTime adlı bir zararlı yazılımın dağıtıldığını, ancak bunun nasıl gerçekleştirildiğinin bilinmediğini belirtmiştir. CookieTime, HTTP isteklerinde kodlanmış çerez değerlerini kullanarak komuta ve kontrol sunucusundan talimatlar almaktadır.

Saldırı zincirinin daha fazla incelenmesi, saldırganların Host A’dan Host C olarak adlandırılan başka bir makineye yanal hareket ettiğini ve burada Şubat ile Haziran 2024 arasında çeşitli zararlı yazılımlar dağıttığını ortaya koymuştur. Bunlar arasında LPEClient, ServiceChanger ve Charamel Loader bulunmaktadır.

Bu gelişmeler, Lazarus Grubu’nun karmaşık saldırı yöntemleri kullanarak kritik sektörlerdeki çalışanları hedef almaya devam ettiğini göstermektedir.

To request a quotation for the following: Cyber Security, Digital Transformation, MSSP, Penetration Testing, KVKK, GDPR, ISO 27001 and ISO 27701, please click here.

About Content:
Lazarus Grubu, Ocak 2024'te isimsiz bir nükleer kuruluşun en az iki çalışanını hedef alarak karmaşık bir enfeksiyon zinciri kullanmıştır. Bu saldırılar, Kaspersky tarafından NukeSped olarak da izlenen ve 2020'den beri aktif olan Operation Dream Job adlı siber casusluk kampanyasının bir parçasıdır. Detaylar haberimizde.
Share on Social Media:
Facebook
Twitter
LinkedIn
Telegram