Son zamanlarda güvenlik araştırmacıları, kötü şöhretli Lazarus grubuna ait kümelerden biri olan DeathNote’u araştırdı. DeathNote kümesi, 2019’da dünya çapında kripto para birimiyle ilgili işletmelere yönelik saldırılarla başlayarak yıllar içinde büyük ölçüde değişti.
2022’nin sonunda Avrupa, Latin Amerika, Güney Kore ve Afrika’daki BT şirketlerini ve savunma şirketlerini etkileyen hedefli kampanyalardan sorumluydu.
En son rapor, DeathNote’un hedeflerindeki bir değişikliğin yanı sıra son dört yılda araçlarının, tekniklerinin ve prosedürlerinin geliştirilmesini ve iyileştirilmesini takip ediyor.
Kötü şöhretli tehdit aktörü Lazarus, uzun süredir ısrarla kripto para birimiyle ilgili işletmeleri hedef alıyor. Oyuncunun faaliyetlerini izlerken Kaspersky, bir vakada önemli ölçüde değiştirilmiş bir kötü amaçlı yazılım kullandıklarını fark etti.
Ekim 2019’un ortalarında, güvenlik uzmanları VirusTotal’a yüklenen şüpheli bir belgeyle karşılaştı. Kötü amaçlı yazılımın yazarı, kripto para birimi işiyle ilgili sahte belgeler kullandı.
Bunlar, belirli bir kripto para birimi satın alma, belirli bir kripto para birimine giriş ve bir bitcoin madenciliği şirketine giriş hakkında bir anket içerir.
Bu, Kıbrıs, Amerika Birleşik Devletleri, Tayvan ve Hong Kong’da kripto para birimine dahil olan bireyleri ve şirketleri hedef alan DeathNote kampanyasının ilk kez devreye girmesiydi.
DeathNote kümesinin zaman çizelgesi
Ancak, Nisan 2020’de araştırmacılar DeathNote’un enfeksiyon vektörlerinde önemli bir değişiklik gördü.
Araştırma, DeathNote kümesinin Doğu Avrupa’da savunma sanayi ile bağlantılı otomotiv ve akademik kuruluşların hedeflenmesinde kullanıldığını ortaya koydu.
Bu sırada aktör, savunma müteahhitlerinden ve diplomatik ilgili olanlardan iş tanımlarıyla ilgili tüm sahte belgeleri değiştirdi. Bunun yanı sıra aktör, silah haline getirilmiş belgelerinde uzak şablon enjeksiyon tekniğini kullanarak enfeksiyon zincirini detaylandırdı ve Trojanlı açık kaynaklı PDF görüntüleyici yazılımını kullandı.
Bu iki bulaşma yöntemi de kurbanın bilgilerini yüklemekten sorumlu olan aynı kötü amaçlı yazılıma (DeathNote indiricisi) neden olur.
Mayıs 2021’de Avrupa’da ağ cihazı ve sunucu izleme için çözümler sunan bir bilişim şirketinin DeathNote kümesi tarafından ele geçirildiği gözlemlendi.
Ayrıca, 2021 Haziran ayının başlarında bu Lazarus alt grubu, Güney Kore’deki hedefleri etkilemek için yeni bir mekanizma kullanmaya başladı. Araştırmacıların dikkatini çeken şey, kötü amaçlı yazılımın ilk aşamasının Güney Kore’de güvenlik için yaygın olarak kullanılan meşru yazılımlar tarafından yürütülmesiydi.
Araştırmacılar, 2022’de DeathNote’u izlerken Latin Amerika’daki bir savunma yüklenicisine yönelik saldırılardan kümenin sorumlu olduğunu keşfettiler.
İlk bulaşma vektörü, hazırlanmış bir PDF dosyasıyla Trojanlaştırılmış bir PDF okuyucunun kullanımını içeren diğer savunma endüstrisi hedeflerinde olan duruma benzerdi. Ancak bu özel durumda aktör, son yükü gerçekleştirmek için yandan yükleme tekniğini benimsedi.
İlk olarak Temmuz 2022’de keşfedilen devam eden bir kampanyada, Lazarus grubunun Afrika’daki bir savunma müteahhitini başarıyla ihlal ettiği ortaya çıktı.
İlk bulaşma, Skype messenger aracılığıyla gönderilen şüpheli bir PDF uygulamasıydı. PDF okuyucuyu çalıştırdıktan sonra, aynı dizinde hem meşru bir dosya (CameraSettingsUIHost.exe) hem de kötü amaçlı dosya (DUI70.dll) oluşturdu.
“Lazarus grubu kötü şöhretli ve oldukça yetenekli bir tehdit aktörüdür. Kaspersky GReAT baş güvenlik araştırmacısı Seongsu Park, “DeathNote kümesine ilişkin analizimiz, taktiklerinde, tekniklerinde ve prosedürlerinde yıllar içinde hızlı bir gelişme olduğunu ortaya koyuyor” dedi.
“Bu kampanyada Lazarus, kriptoyla ilgili işle sınırlı kalmadı, çok daha ileri gitti. Savunma kuruluşlarını tehlikeye atmak için hem meşru yazılımları hem de kötü amaçlı dosyaları dağıtır. Lazarus grubu yaklaşımlarını iyileştirmeye devam ederken, kuruluşların tetikte olması ve kötü niyetli faaliyetlerine karşı proaktif önlemler alması çok önemlidir.,” ekledi.
Bilinen veya bilinmeyen tehdit aktörlerinin hedefli saldırılarına kurban gitmemek için Kaspersky araştırmacıları aşağıdaki önlemlerin alınmasını öneriyor:
- Bir siber güvenlik denetimi gerçekleştirin ve çevrede veya ağ içinde keşfedilen tüm zayıflıkları veya kötü niyetli öğeleri düzeltmek için ağlarınızı sürekli olarak izleyin.
- Hedefli saldırıların çoğu kimlik avı veya diğer sosyal mühendislik teknikleriyle başladığı için personelinize temel siber güvenlik hijyen eğitimi verin.
- Çalışanlarınızı yalnızca güvenilir kaynaklardan ve resmi uygulama mağazalarından yazılım ve mobil uygulama indirmeleri konusunda eğitin.
- Olayların zamanında tespit edilmesini ve gelişmiş tehditlere yanıt verilmesini sağlamak için EDR ürününü kullanın. Kaspersky Managed Detection and Response gibi bir hizmet, hedefli saldırılara karşı tehdit avlama yetenekleri sağlar.
- Hesap hırsızlığını, doğrulanmamış işlemleri ve kara para aklamayı tespit edip önleyerek kripto para birimi işlemlerini koruyabilen bir sahtekarlığa karşı çözüm benimseyin.