Basın Bülteni- ESET, Lazarus grubunun Avrupa’daki savunma ve İHA sektörünü hedef alan yeni bir siber casusluk kampanyası tespit etti

Siber güvenlik alanında dünya lideri olan ESET, Kuzey Kore ile bağlantılı Lazarus
grubu çatısı altında takip ettiği Operation DreamJob kampanyasının yeni bir örneğini
gözlemledi. Kampanyada, savunma sanayisinde faaliyet gösteren birkaç Avrupa
şirketi hedef alındı. Bu şirketlerin bazıları insansız hava aracı (İHA/Drone)
sektöründe yoğun olarak faaliyet gösterdiğinden operasyonun Kuzey Kore'nin
drone programını genişletme çabalarıyla bağlantılı olabileceği, saldırganların
başlıca hedefinin, özel bilgiler ve üretim know-how'ının çalınması olduğu düşünülüyor.

ESET araştırmacılarının bulgularına göre gerçek hayatta gerçekleşen saldırılar,
Orta ve Güneydoğu Avrupa'da savunma sektöründe faaliyet gösteren üç şirketi arka
arkaya hedef aldı. İlk erişim neredeyse kesin olarak sosyal mühendislik yoluyla
sağlandı. Hedeflere yerleştirilen ana yük, saldırganlara ele geçirilen makine
üzerinde tam kontrol sağlayan bir uzaktan erişim truva atı (RAT) olan ScoringMathTea
idi. Saldırganların başlıca hedefinin, özel bilgiler ve üretim know-how'ının
dışarıya sızdırılması olduğu düşünülüyor.

Operation DreamJob'da, sosyal mühendisliğin ana teması, kârlı ama sahte bir iş teklifi
ve buna eşlik eden bir kötü amaçlı yazılım. Kurban, genellikle iş tanımı
içeren bir yem belge ve bunu açmak için trojanize edilmiş bir PDF okuyucu alır.
ESET Research, bu faaliyeti Operasyon DreamJob ile ilgili kampanyaları ve Avrupa'da
bulunan hedef sektörlerin önceki Operasyon DreamJob örneklerindeki hedeflerle
(havacılık, savunma, mühendislik) uyumlu olması nedeniyle Lazarus'a atfediyor.

Hedef alınan üç kuruluş, farklı türde askeri teçhizat (veya bunların parçaları)
üretiyor ve bunların çoğu, Avrupa ülkelerinin askeri yardımı sonucunda şu anda
Ukrayna'da kullanılıyor. Operation DreamJob'un gözlemlenen faaliyetleri sırasında,
Kuzey Koreli askerler Moskova'nın Kursk bölgesinde Ukrayna'nın saldırısını
püskürtmesine yardım etmek için Rusya'ya konuşlandırılmıştı. Bu nedenle, Operation
DreamJob'un şu anda Rusya-Ukrayna savaşında kullanılan bazı batı yapımı silah
sistemleri hakkında hassas bilgiler toplamakla ilgilendiği mümkündür. Daha genel
olarak, bu kuruluşlar Kuzey Kore'nin de yurt içinde ürettiği ve kendi tasarım
ve süreçlerini mükemmelleştirmeyi umduğu türden malzemelerin üretiminde yer
almaktadır. İHA ile ilgili bilgi birikimine olan ilgi dikkat çekici, zira bu,
Pyongyang'ın yerli drone üretim kapasitelerine büyük yatırım yaptığına işaret eden
son medya haberlerini yansıtıyor. Kuzey Kore, yerli İHA kapasitelerini geliştirmek
için büyük ölçüde tersine mühendislik ve fikri mülkiyet hırsızlığına güvenmiştir.

Son Lazarus saldırılarını keşfeden ve analiz eden ESET araştırmacısı Peter Kálnai
ve Alexis Rapin şu açıklamayı yaptılar: Operasyon DreamJob'un, en azından kısmen,
İHA'larla ilgili özel bilgileri ve üretim know-how'ını çalmak amacıyla gerçekleştirildiğini
düşünüyoruz. Dropper'lardan birinde gözlemlenen drone ifadesi,
bu hipotezi önemli ölçüde desteklemektedir. Hedef alınan kuruluşlardan birinin,
şu anda Ukrayna'da kullanılan ve Kuzey Kore'nin cephe hattında karşılaşmış
olabileceği en az iki İHA modelinin üretiminde yer aldığına dair kanıtlar bulduk.
Bu kuruluş, Pyongyang'ın aktif olarak geliştirmekte olduğu bir uçak türü olan
gelişmiş tek motorlu insansız hava araçlarının tedarik zincirinde de yer almaktadır.

Genel olarak, Lazarus saldırganları oldukça aktiftir ve arka kapılarını birden fazla
hedefe karşı kullanırlar. Bu sık kullanım, bu araçları ortaya çıkarır ve tespit
edilmesini sağlar. Buna karşı önlem olarak, grubun araçlarının yürütme zincirinde
bir dizi dropper, yükleyici ve basit indirici yer alır. Saldırganlar,
kötü amaçlı yükleme rutinlerini GitHub'da bulunan açık kaynaklı projelere dâhil
etmeye karar verdiler.

Ana yük olan ScoringMathTea, yaklaşık 40 komutu destekleyen karmaşık bir RAT'tır.
İlk ortaya çıkışı, Ekim 2022'de Portekiz ve Almanya'dan VirusTotal'a gönderilen
başvurularla izlenebilir, burada dropper, Airbus temalı bir iş teklifi gibi
görünerek kurbanları tuzağa düşürmüştür. Uygulanan işlevsellik, Lazarus'un genellikle
gerektirdiği işlevselliklerle aynıdır: Dosya ve işlemlerin manipülasyonu,
yapılandırmanın değiştirilmesi, kurbanın sistem bilgilerinin toplanması, TCP
bağlantısının açılması ve yerel komutların veya C&C sunucusundan indirilen yeni
yüklerin yürütülmesi. ESET telemetrisine göre, ScoringMathTea, Ocak 2023'te bir
Hint teknoloji şirketine, Mart 2023'te bir Polonya savunma şirketine, Ekim 2023'te
bir İngiliz endüstriyel otomasyon şirketine ve Eylül 2025'te bir İtalyan
havacılık şirketine yönelik saldırılarda görülmüştür. Operation DreamJob kampanyalarının
amiral gemisi yüklerinden biri olduğu görülmektedir.

Grubun en önemli gelişimi, DLL proxy'leri için tasarlanmış yeni kütüphanelerin tanıtılması
ve daha iyi kaçınma için trojanize edilecek yeni açık kaynaklı projelerin
seçilmesidir. Kálnai, Yaklaşık üç yıldır Lazarus, tercih ettiği ana yükü
olan ScoringMathTea'yi kullanarak ve açık kaynaklı uygulamaları trojanize etmek
için benzer yöntemler uygulayarak tutarlı bir çalışma tarzını sürdürmüştür. Bu
öngörülebilir ancak etkili strateji, grubun kimliğini gizlemek ve atıf sürecini
belirsizleştirmek için yetersiz olsa da güvenlik tespitinden kaçmak için yeterli
polimorfizm sağlar diye aktardı.

HIDDEN COBRA olarak da bilinen Lazarus grubu en az 2009 yılından beri aktif olan
ve Kuzey Kore ile bağlantılı bir APT grubudur. Yüksek profilli olaylardan sorumludur.
Lazarus kampanyalarının çeşitliliği, sayısı ve uygulamadaki tuhaflığı bu
grubu tanımlamaktadır. Ayrıca siber suç faaliyetlerinin üç temel unsurunu da
yerine getirmektedir: Siber casusluk, siber sabotaj ve mali kazanç peşinde koşma.

Operasyon DreamJob, esas olarak sosyal mühendisliğe dayanan Lazarus kampanyalarının
kod adıdır ve özellikle prestijli veya yüksek profilli pozisyonlar için sahte
iş teklifleri kullanır (hayalindeki iş tuzağı). Hedefler ağırlıklı olarak
havacılık ve savunma sektörlerindedir, ardından mühendislik ve teknoloji şirketleri
ile medya ve eğlence sektörü gelir.


-iDeal Haber Merkezi-
- twitter.com/iDealDataHaber // www.idealdata.com.tr -