Google’a ait tehdit istihbarat firması Mandiant, UNC2970 olarak izlenen bir saldırı kümesini raporladı. Bu grup, TEMP.Hermit adıyla bilinen tehdit aktörüyle örtüşüyor ve genel olarak Lazarus Group veya eski adıyla Zinc, yeni adıyla Diamond Sleet olarak da anılıyor.
Bu tehdit aktörü, en az 2013’ten beri Kuzey Kore’nin stratejik çıkarlarını desteklemek amacıyla dünya çapında hükümetler, savunma sektörü, telekomünikasyon ve finansal kuruluşları hedef alıyor. Grubun, Kuzey Kore’nin istihbarat servisi olan Reconnaissance General Bureau (RGB) ile bağlantılı olduğu biliniyor.
Mandiant’ın raporuna göre, UNC2970 ABD, İngiltere, Hollanda, Kıbrıs, İsveç, Almanya, Singapur, Hong Kong ve Avustralya’daki çeşitli kuruluşları hedef alıyor. Grup, sahte iş ilanları üzerinden saldırılar düzenleyerek, kendilerini büyük firmaların işe alım uzmanı olarak tanıtıyor ve sahte ilanlar ile kurbanları hedefliyor.
Özellikle üst düzey yönetici pozisyonları hedef alınarak, saldırganların gizli ve hassas bilgilere erişmeye çalıştığı düşünülüyor. Operation Dream Job olarak adlandırılan bu saldırı zincirinde, kurbanlarla e-posta ve WhatsApp üzerinden güven oluşturmaya yönelik sosyal mühendislik taktikleri uygulanıyor. Ardından, “iş tanımı” kılığına bürünmüş zararlı bir ZIP arşiv dosyası gönderiliyor.
Bu saldırılarda ilginç bir detay olarak, iş tanımı PDF dosyasını açabilmek için arşivdeki Sumatra PDF adlı zararlı hale getirilmiş bir PDF okuyucu uygulamasının kullanılması gerekiyor. Bu yöntem, MISTPEN adlı zararlı yazılımı BURNBOOK adı verilen bir launcher aracılığıyla çalıştırmak için kullanılıyor.
MISTPEN Kötü Amaçlı Yazılımı
Bu saldırı zincirinin bir tedarik zinciri saldırısı olmadığı, ancak eski bir Sumatra PDF sürümünün kötü amaçlarla yeniden kullanıldığı belirtiliyor. Bu taktik, grup tarafından 2022’den bu yana denenmiş bir yöntem. Mandiant ve Microsoft, saldırılarda PuTTY, KiTTY, TightVNC, Sumatra PDF Reader ve muPDF/Subliminal Recording gibi açık kaynaklı yazılımların geniş bir yelpazede kullanıldığını vurguladı.
Saldırganlar, kurbanları enclosed PDF viewer programını kullanarak, zararlı bir DLL dosyası çalıştırmaya yönlendiriyor. BURNBOOK adı verilen bu launcher, yerleştirilmiş bir DLL olan wtsapi32.dll dosyasını indirerek MISTPEN arka kapısını sistem yeniden başlatıldığında çalıştırıyor.
Mandiant araştırmacılarına göre, MISTPEN, Notepad++ eklentisinin truva atı haline getirilmiş bir versiyonu olan binhex.dll içinde saklanmış TEARPAGE yükleyicisi, MISTPEN‘i deşifre ederek çalıştırıyor. MISTPEN, C diliyle yazılmış hafif bir zararlı yazılım olup, bir command-and-control (C2) sunucusundan indirilen taşınabilir çalıştırılabilir dosyaları (PE) indirip çalıştırabiliyor. HTTP üzerinden Microsoft Graph URL’leriyle iletişim kuruyor.
Mandiant, BURNBOOK ve MISTPEN’in eski sürümlerini de bulduklarını ve saldırıların zamanla daha fazla yetenek eklenerek geliştirilmekte olduğunu keşfetti. İlk MISTPEN örneklerinin, C2 alanı olarak ele geçirilmiş WordPress sitelerini kullandığı da raporlandı.
Araştırmacılar, “Tehdit aktörü, zamanla kötü amaçlı yazılımını yeni özellikler ekleyerek ve ağ bağlantısı kontrolü entegre ederek geliştirdi. Bu, örneklerin analizini zorlaştırmayı amaçlıyor,” dedi.
Haberimizde yer alan UNC2970 ve Lazarus Group gibi tehdit aktörlerinin giderek daha sofistike saldırılar düzenlemesi, siber güvenlik stratejilerinin sadece mevcut tehditlere karşı değil, gelecekteki risklere karşı da sürdürülebilir ve bütüncül bir yapıda olması gerektiğini vurguluyor. Örneğin, Lazarus Group’un sahte iş ilanları üzerinden gerçekleştirdiği uzun vadeli casusluk operasyonları, siber tehditlere karşı dayanıklı ve dinamik bir savunma mekanizmasının önemini ortaya koyuyor. Bu noktada sürdürülebilirlik, güvenlik stratejilerinin uzun vadeli, esnek ve gelecekteki saldırılara karşı hazırlıklı olmasını ifade ederken; bütüncüllük, sistemlerin tek bir noktada değil, tüm ağ, süreç ve güvenlik katmanlarının entegre bir şekilde korunmasını gerektiriyor. UNC2970’in Sumatra PDF gibi çeşitli yazılımları kullanarak farklı saldırı vektörlerini hedef alması, güvenlik stratejilerinin kapsamlı ve koordineli olması gerektiğini gösteriyor.
Ayrıca, Lazarus Group’un saldırılarında MISTPEN gibi kötü amaçlı yazılımları sürekli geliştirmesi, şirketlerin güvenlik zafiyetlerini düzenli olarak gözden geçirmesi gerektiğini hatırlatıyor. Burada devreye giren Compromise Assessment (Zafiyet Değerlendirmesi), tehditlerin proaktif bir şekilde tespit edilmesini sağlayarak, kritik sistemlerin zarar görmeden önce korunmasına olanak tanıyor. Bu üç temel prensibi sürdürülebilirlik, bütüncüllük ve zafiyet değerlendirmesi uygulayarak daha güçlü, dayanıklı ve uzun vadede etkili bir siber güvenlik stratejisi oluşturmak mümkündür.
Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.