3. taraf risk yönetimi, siber savaş / ulus-devlet saldırıları, sahtekarlık yönetimi ve siber suç
North Kore Casusluk Grubu Meşru Güvenlik Yazılım Ürünlerinde Kusurlar Sömürüldü
Jayant Chakravarti (@Jayjay_tech) •
29 Nisan 2025
Kuzey Kore’nin Lazarus Grubu, meşru Güney Kore yazılımındaki güvenlik açıklarından, amiral gemisi arka kapı kötü amaçlı yazılımlarından birini en az Kasım ayından bu yana altı Güney Koreli kuruluşun ağlarına enjekte etti.
Ayrıca bakınız: Üçüncü taraf risk yönetiminde ortaya çıkan tehditlerin izlenmesi ve azaltılması
Kaspersky’deki güvenlik araştırmacıları, ilk olarak Kasım ayında tespit edilen casusluk kampanyasının, Güney Koreli bilgi teknolojisi şirketi Iniline tarafından geliştirilen meşru bir klavye güvenlik yazılımı ürünü olan Cross Ex’teki güvenlik açıklarını ve bir dosya transfer yazılımı olan Innorix Agent, TehditNeedle Backdoor ve diğer uzmanlık yazılımı enjekte etmek için Enterprise Systems’a enjekte ettiğini söyledi.
Devlet destekli Siber Tesis Grubu, Güney Kore merkezli hedeflenen kuruluşları tehlikeye atmak için meşru yazılım sömürüsünü sulama deliği saldırılarıyla birleştirdi. Bir sulama deliği saldırısı, kurumsal veya internet kullanıcıları tarafından sıkça kullanılan veya ziyaret edilen yazılımları, uygulamaları veya web sitelerini tehlikeye atan kötü niyetli aktörleri içerir.
Araştırmacılar, Lazarus Group’un Cross Ex’in bir alt süreci olarak tehdit edilen arka kapıyı oluşturduğunu ve meşru bir synchost.exe sürecinin anısına gömdüğünü söyledi. Grup, Cross Ex, çevrimiçi bankacılık ve hükümet web siteleri için anti-icra ve sertifika tabanlı dijital imzalar sağladığı ve tarayıcı ile etkileşim kurmak için sürekli olarak arka planda çalıştığı için saldırılarını monte etmek için yazılımı dikkatle seçti.
Araştırmacılar, “Saldırganların sömürü süreci boyunca ayrıcalıklarını artırdığına inanıyoruz, çünkü sürecin çoğu durumda yüksek dürüstlük seviyesiyle yürütüldüğünü doğruladı.” Dedi. Kötü amaçlı yazılım kampanyasını analizleri sırasında, altı hedefli kuruluşun hepsinde Cross Ex sürecinden kaynaklanan yürütme zincirlerinde benzerlikler buldular.
Kaspersky’ye göre, Lazarus Group aktörleri, kurbanın cihazındaki arka kapı kötü amaçlı yazılımlarını dikmek için Cross Ex’de bir güvenlik açığından yararlanan kötü amaçlı bir komut dosyası yürüten tehlikeye atılan web sitelerine çevrimiçi medya sitelerine yönlendirdi. Grup, muhtemelen ilk enfeksiyonlara agresif bir şekilde yanıt veren araştırmacılara yanıt olarak, sonraki saldırılarda Signbt kötü amaçlı yazılım ile tehdit alt kapısını değiştirdi.
Siber güvenlik şirketinin raporu, Güney Kore’nin acil müdahale ekibini veya KRCERT’i takip ederek, Cross Ex yazılımında kötü niyetli aktörlerin keyfi lisanslar vermesine izin veren bir güvenlik açığı hakkında bir danışma belgesi yayınlıyor. Cross Ex’in geliştiricisi Iniline, yazılımın güvenlik açığını içeren önceki tüm sürümlerin yerini alan yepyeni bir sürümünü yayınladı.
Kaspersky, Kasım ve Şubat ayları arasında Lazarus Grubu’nun Sustamiyeyi Güney Koreli organizasyonları yazılım, BT, Finansal, Yarı İletken Üretim ve Telekomünikasyon Endüstrileri’ndeki mağdur etmek için kullandığını söyledi. Grup daha önce savunma teknolojileri ve silahlar hakkında hayati bilgi edinmek için bir düzineden fazla ülkedeki savunma endüstrisi organizasyonlarına yönelik saldırılarda Tehditneedle arka kapısını kullandı (bakınız: Lazarus, savunma firmalarına tehdit firmalarına vuruyor).
Tehditneedle’ye ek olarak, grup ayrıca komut ve kontrol sunucusundan ek yükler alan ve bunları doğrudan belleğe yükleyen ve ayrıca verilen eklentilerle paylaşılan paylaşılan bir nesne oluşturan bir DLL dosyası olarak gizlenmiş Wagent kötü amaçlı yazılımını da kullandı.
Kaspersky, “Bu kampanyada Lazarus’un kullandığı yazılımın popülaritesi göz önüne alındığında, daha geniş bir endüstri yelpazesinde daha fazla etkilenen kuruluş olduğundan eminiz.” Dedi.
Grup ayrıca, dahili ana bilgisayarlara ek kötü amaçlı yazılım dağıtmak için bir şirket tarafından geliştirilen Dosya Aktarım Yazılımı Innorix’in belirli bir sürümünü kullanan kötü amaçlı yazılımlar kullandı. Kaspersky, Innorix’in Güney Kore İnternet ortamındaki bazı finansal ve idari görevler için zorunlu bir yazılım olduğunu ve kötü niyetli grubun kötü amaçlı yazılımları hedeflenen sistemlere yerleştirmesi için mükemmel bir seçim olduğunu söyledi.
Tehdit, Signbt ve Wagent kötü amaçlı yazılımlara ek olarak Lazarus Group Actors, hedeflenen ortamlarda iç keşif yapmak ve temel sistem bilgilerini toplamak, kötü amaçlı bir hizmet oluşturmak ve yanal hareket yapmak için ana bilgisayarları aramak için Windows komutları vermek için Copperhedge kötü amaçlı yazılım kullandılar.
Kaspersky, Lazarus grubunun Güney Kore organizasyonlarına daha önce belgelenmiş saldırılarda Tehdit, Signbt ve Wagent kötü amaçlı yazılım kullandığını ve bu da grubun yerli kuruluşlara başarılı tedarik zinciri saldırıları yapmak için Güney Kore yazılım ekosisteminin derin bilgisini kullandığını söyledi.
Şirket, “Lazarus Group’un Güney Kore’deki tedarik zincirlerini hedefleyen özel saldırılarının gelecekte devam etmesi bekleniyor.” Dedi. “Saldırganlar, yeni kötü amaçlı yazılımlar geliştirerek veya mevcut kötü amaçlı yazılımları geliştirerek algılamayı en aza indirmek için çaba sarf ediyorlar. Özellikle, C2, komut yapısı ve veri gönderme ve alma şekliyle iletişimde geliştirmeler getiriyorlar.”