Kaspersky‘nin son raporu, DeathNote’un gayelerindeki değişimin yanı sıra son dört yılda araçlarındaki, tekniklerindeki ve prosedürlerindeki gelişimi ve güzelleştirmeyi gözler önüne serdi.
Şirketten yapılan açıklamaya nazaran Kaspersky, kısa müddet evvel Lazarus siber taarruz kümesine ilişkin kümelerden biri olan DeathNote’u müşahede altına aldı.
2019 yılında dünya genelinde kripto parayla ilgili şirketlere yönelik hücumlarla işe başlayan DeathNote, yıllar içinde büyük bir dönüşüm geçirdi.
Grup 2022’nin sonunda Avrupa, Latin Amerika, Güney Kore ve Afrika’daki BT ve savunma şirketlerini etkileyen amaçlı atakların sorumlusu haline geldi.
Kaspersky‘nin son raporu, DeathNote’un amaçlarındaki değişimin yanı sıra son dört yılda araçlarındaki, tekniklerindeki ve prosedürlerindeki gelişimi ve güzelleştirmeyi gözler önüne seriyor.
Kötü şöhretliyle bilinen tehdit aktörü Lazarus, uzun müddettir ısrarla kripto para ile ilgili işletmeleri gaye alıyor. Kaspersky, bu tehdit aktörünün faaliyetlerini izlerken bir olayda kıymetli ölçüde değiştirilmiş bir makus hedefli yazılımın kullanıldığını fark etti.
Kaspersky uzmanları, Ekim 2019’da VirusTotal’e yüklenen kuşkulu bir dokümanla karşılaştı. Buna nazaran makus gayeli yazılım hazırlayan kişi, kripto para ünitesiyle ilgili geçersiz dokümanları devreye sokmuştu.
Bunlar ortasında belli bir kripto para ünitesinin satın alınmasıyla ilgili bir anket, makul bir kripto para ünitesine giriş için kılavuzlar ve Bitcoin madencilik şirketine giriş bilgileri yer alıyordu. DeathNote kampanyası birinci kere Kıbrıs, Amerika Birleşik Devletleri, Tayvan ve Hong Kong’da kripto para ünitesiyle ilgilenen bireyleri ve şirketleri maksat aldı.
Nisan 2020’de DeathNote’un bulaşma vektörlerinde kıymetli değişim gözlemlendi
Verilen bilgiye nazaran Kaspersky, Nisan 2020’de DeathNote’un bulaşma vektörlerinde değerli bir değişim gözlemledi. Araştırmalar, DeathNote kümesinin Doğu Avrupa’da savunma sanayiiyle temaslı otomotiv şirketlerini ve akademik kuruluşları maksat aldığını gösteriyordu.
Bu sırada tehdit aktörü, savunma sanayi müteahhitlerinden ve diplomatik ilişkilerden gelen iş tarifleriyle ilgili dokümanları sahteleriyle değiştirmekle meşguldü. Bunun yanı sıra her biri silah haline dönüştürülmüş evraklar, uzaktan şablon enjeksiyon tekniğiyle bulaşma zincirine dahil edilen ve Truva atı özelliği taşıyan açık kaynaklı PDF görüntüleyici yazılımıyla destekleniyor ve akın daha güçlü hale getiriliyordu.
Söz konusu bulaşma usullerinin her ikisi de kurbanın bilgilerini sızdırmaktan sorumlu olan DeathNote downloader yazılımının yüklenmesiyle sonuçlanıyordu.
Mayıs 2021’de Kaspersky, Avrupa’daki ağ aygıtı ve sunucu izleme tahlilleri sunan bir BT şirketinin DeathNote kümesi tarafından ele geçirildiğini fark etti. Ayrıyeten Haziran 2021’in başlarında Lazarus alt kümesi Güney Kore’deki gayelere bulaşmak için yeni bir düzenek kullanmaya başladı. Burada araştırmacıların dikkatini çeken şey, makus hedefli yazılımın birinci kademesinin Güney Kore’de güvenlik için yaygın olarak kullanılan legal bir yazılım tarafından yürütülmesiydi.
Kaspersky araştırmacıları 2022 yılında DeathNote’u izlerken, kümenin Latin Amerika’daki bir savunma yüklenicisine yapılan taarruzlardan sorumlu olduğunu keşfetti. Birinci bulaşma vektörü, başka savunma bölümü maksatlarında olduğu üzere özel hazırlanmış bir PDF evrakı ile Truva atı haline getirilmiş bir PDF okuyucunun kullanımını içeriyordu. Fakat bu istisnai durumda aktör sonuncu yükü çalıştırmak için bir yan yükleme tekniği kullanıyordu.
İlk olarak Temmuz 2022’de keşfedilen ve hala devam etmekte olan bir kampanyada, Lazarus kümesinin Afrika’daki bir savunma yüklenicisine muvaffakiyetle sızdığı ortaya çıktı. Birinci bulaşma Skype iletileşme yazılımı aracılığıyla gönderilen kuşkulu bir PDF uygulamasından kaynaklanmıştı. PDF okuyucu çalıştırıldığında, tıpkı dizinde yasal evrakın yanı sıra (CameraSettingsUIHost.exe) makûs gayeli ikinci bir evrak daha oluşturuyordu (DUI70.dll).
“Kaspersky Managed Detection and Response üzere bir hizmet, gayeli taarruzlara karşı tehdit avlama yetenekleri sağlar”
Açıklamada görüşlerine yer verilen Kaspersky GReAT Güvenlik Araştırma Lideri Seongsu Park, Lazarus kümesinin ünlü ve son derece yetenekli bir tehdit aktörü olduğunu belirterek, “DeathNote kümesi üzerine yaptığımız tahlil, yıllar içinde kümenin taktiklerinde, tekniklerinde ve prosedürlerinde süratli bir evrim yaşandığını ortaya koyuyor.
Bu kampanyada Lazarus’un kripto ile ilgili işlerle sonlu kalmayıp, çok daha ileri gittiğini gördük. Küme güvenlik kurumlarını tehlikeye atmak için hem yasal yazılımlar hem de berbat maksatlı belgeler kullanıyor. Lazarus kümesi yaklaşımlarını geliştirmeye devam ettikçe, kurumların tetikte olması ve makûs niyetli faaliyetlerine karşı savunmak için proaktif tedbirler alması büyük ehemmiyet kazanıyor.” sözlerini kullandı.
Kaspersky araştırmacıları, bilinen yahut bilinmeyen tehdit aktörlerinin amaçlı taarruzlarının kurbanı olmamak için şu tekliflerde bulundu:
“Kurumunuzda siber güvenlik kontrolü gerçekleştirin. Etrafta yahut ağ bünyesinde keşfedilen zafiyetleri yahut makus gayeli ögeleri düzeltmek için ağlarınızı daima izleyin. Gayeli taarruzların birçok kimlik avı yahut öbür toplumsal mühendislik teknikleriyle başladığı için çalışanınıza temel siber güvenlik hijyeni eğitimi verin. Çalışanlarınızı yazılımları ve taşınabilir uygulamaları sadece muteber kaynaklardan ve resmi uygulama mağazalarından indirmeleri konusunda eğitin. Gelişmiş tehditlere karşı vaktinde olay tespiti ve müdahalesi sağlamak için EDR eseri kullanın.
Kaspersky Managed Detection and Response üzere bir hizmet, gayeli ataklara karşı tehdit avlama yetenekleri sağlar. Hesap hırsızlığını, doğrulanmamış süreçleri ve kara para aklamayı tespit edip önleyerek kripto para süreçlerini koruyabilen bir dolandırıcılık tedbire tahlilini devreye alın.”