27 Eyl, 2024

Kuzey Kore Bağlantılı Lazarus Grubu, İş İlanları Kılığında Yönlendirdiği Siber Saldırılarla Öne Çıkıyor

Googlea ait tehdit istihbarat firması Mandiant, UNC2970 olarak izlenen bir saldırı kümesini raporladı. Bu grup, TEMP.Hermit adıyla bilinen tehdit aktörüyle örtüşüyor ve genel olarak Lazarus Group veya eski adıyla Zinc, yeni adıyla Diamond Sleet olarak da anılıyor.

Bu tehdit aktörü, en az 2013ten beri Kuzey Korenin stratejik çıkarlarını desteklemek amacıyla dünya çapında hükümetler, savunma sektörü, telekomünikasyon ve finansal kuruluşları hedef alıyor. Grubun, Kuzey Korenin istihbarat servisi olan Reconnaissance General Bureau (RGB) ile bağlantılı olduğu biliniyor.

Mandiantın raporuna göre, UNC2970 ABD, İngiltere, Hollanda, Kıbrıs, İsveç, Almanya, Singapur, Hong Kong ve Avustralyadaki çeşitli kuruluşları hedef alıyor. Grup, sahte iş ilanları üzerinden saldırılar düzenleyerek, kendilerini büyük firmaların işe alım uzmanı olarak tanıtıyor ve sahte ilanlar ile kurbanları hedefliyor.

kuzey-kore-baglantili-lazarus-grubu-is-ilanlari-kiliginda-yonlendirdigi-siber-saldirilarla-one-cikiyor-1Özellikle üst düzey yönetici pozisyonları hedef alınarak, saldırganların gizli ve hassas bilgilere erişmeye çalıştığı düşünülüyor. Operation Dream Job olarak adlandırılan bu saldırı zincirinde, kurbanlarla e-posta ve WhatsApp üzerinden güven oluşturmaya yönelik sosyal mühendislik taktikleri uygulanıyor. Ardından, iş tanımı kılığına bürünmüş zararlı bir ZIP arşiv dosyası gönderiliyor.

kuzey-kore-baglantili-lazarus-grubu-is-ilanlari-kiliginda-yonlendirdigi-siber-saldirilarla-one-cikiyor-2Bu saldırılarda ilginç bir detay olarak, iş tanımı PDF dosyasını açabilmek için arşivdeki Sumatra PDF adlı zararlı hale getirilmiş bir PDF okuyucu uygulamasının kullanılması gerekiyor. Bu yöntem, MISTPEN adlı zararlı yazılımı BURNBOOK adı verilen bir launcher aracılığıyla çalıştırmak için kullanılıyor.

MISTPEN Kötü Amaçlı Yazılımı

kuzey-kore-baglantili-lazarus-grubu-is-ilanlari-kiliginda-yonlendirdigi-siber-saldirilarla-one-cikiyor-3Bu saldırı zincirinin bir tedarik zinciri saldırısı olmadığı, ancak eski bir Sumatra PDF sürümünün kötü amaçlarla yeniden kullanıldığı belirtiliyor. Bu taktik, grup tarafından 2022den bu yana denenmiş bir yöntem. Mandiant ve Microsoft, saldırılarda PuTTY, KiTTY, TightVNC, Sumatra PDF Reader ve muPDF/Subliminal Recording gibi açık kaynaklı yazılımların geniş bir yelpazede kullanıldığını vurguladı.

Saldırganlar, kurbanları enclosed PDF viewer programını kullanarak, zararlı bir DLL dosyası çalıştırmaya yönlendiriyor. BURNBOOK adı verilen bu launcher, yerleştirilmiş bir DLL olan wtsapi32.dll dosyasını indirerek MISTPEN arka kapısını sistem yeniden başlatıldığında çalıştırıyor.

Mandiant araştırmacılarına göre, MISTPEN, Notepad++ eklentisinin truva atı haline getirilmiş bir versiyonu olan binhex.dll içinde saklanmış TEARPAGE yükleyicisi, MISTPENi deşifre ederek çalıştırıyor. MISTPEN, C diliyle yazılmış hafif bir zararlı yazılım olup, bir command-and-control (C2) sunucusundan indirilen taşınabilir çalıştırılabilir dosyaları (PE) indirip çalıştırabiliyor. HTTP üzerinden Microsoft Graph URLleriyle iletişim kuruyor.

kuzey-kore-baglantili-lazarus-grubu-is-ilanlari-kiliginda-yonlendirdigi-siber-saldirilarla-one-cikiyor-4Mandiant, BURNBOOK ve MISTPENin eski sürümlerini de bulduklarını ve saldırıların zamanla daha fazla yetenek eklenerek geliştirilmekte olduğunu keşfetti. İlk MISTPEN örneklerinin, C2 alanı olarak ele geçirilmiş WordPress sitelerini kullandığı da raporlandı.

Araştırmacılar, Tehdit aktörü, zamanla kötü amaçlı yazılımını yeni özellikler ekleyerek ve ağ bağlantısı kontrolü entegre ederek geliştirdi. Bu, örneklerin analizini zorlaştırmayı amaçlıyor, dedi.

Haberimizde yer alan UNC2970 ve Lazarus Group gibi tehdit aktörlerinin giderek daha sofistike saldırılar düzenlemesi, siber güvenlik stratejilerinin sadece mevcut tehditlere karşı değil, gelecekteki risklere karşı da sürdürülebilir ve bütüncül bir yapıda olması gerektiğini vurguluyor. Örneğin, Lazarus Groupun sahte iş ilanları üzerinden gerçekleştirdiği uzun vadeli casusluk operasyonları, siber tehditlere karşı dayanıklı ve dinamik bir savunma mekanizmasının önemini ortaya koyuyor. Bu noktada sürdürülebilirlik, güvenlik stratejilerinin uzun vadeli, esnek ve gelecekteki saldırılara karşı hazırlıklı olmasını ifade ederken; bütüncüllük, sistemlerin tek bir noktada değil, tüm ağ, süreç ve güvenlik katmanlarının entegre bir şekilde korunmasını gerektiriyor. UNC2970in Sumatra PDF gibi çeşitli yazılımları kullanarak farklı saldırı vektörlerini hedef alması, güvenlik stratejilerinin kapsamlı ve koordineli olması gerektiğini gösteriyor.

kuzey-kore-baglantili-lazarus-grubu-is-ilanlari-kiliginda-yonlendirdigi-siber-saldirilarla-one-cikiyor-5Ayrıca, Lazarus Groupun saldırılarında MISTPEN gibi kötü amaçlı yazılımları sürekli geliştirmesi, şirketlerin güvenlik zafiyetlerini düzenli olarak gözden geçirmesi gerektiğini hatırlatıyor. Burada devreye giren Compromise Assessment (Zafiyet Değerlendirmesi), tehditlerin proaktif bir şekilde tespit edilmesini sağlayarak, kritik sistemlerin zarar görmeden önce korunmasına olanak tanıyor. Bu üç temel prensibi sürdürülebilirlik, bütüncüllük ve zafiyet değerlendirmesi uygulayarak daha güçlü, dayanıklı ve uzun vadede etkili bir siber güvenlik stratejisi oluşturmak mümkündür.

Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.




İçerik Hakkında:
UNC2970 olarak bilinen bir siber saldırı grubu olan Mandiant, Kuzey Kore'nin dünya genelindeki hükümetler ve bölgelerin hedef kapsamını desteklemek için oluşturmalarını sağladı. Grup, sahte iş ilanları boyunca büyük katılımlı işe alım uzmanı olarak tanınır. Detaylar içeriğimizde.
Sosyal Medyada Paylaş:
Facebook
Twitter
LinkedIn
Telegram

İlgili Yazılar