Lazarus APT grubundan Kuzey Kore devleti destekli bilgisayar korsanları, insansız hava aracı geliştirmeyle ilgilenen Avrupalı şirketleri hedef alan bir siber casusluk kampanyası başlattı.
Mart 2025’in sonlarından itibaren saldırganlar, Orta ve Güneydoğu Avrupa’daki üç savunma kuruluşunun güvenliğini ihlal ederek, özel İHA teknolojisini çalmak için gelişmiş kötü amaçlı yazılımlar kullandı.
DreamJob Operasyonu olarak takip edilen kampanya, ilk erişim elde etmek için sahte iş teklifleri kullanarak sosyal mühendislik kullandı.
Saldırılar, Kuzey Kore’nin drone programını genişletme çabalarıyla uyumlu olarak drone bileşenleri üreten ve İHA yazılımı geliştiren şirketlere odaklandı.
Araştırmacılar, güvenliği ihlal edilmiş sistemlerin dahili DLL adına sahip kötü amaçlı yazılım düşürücüler içerdiğini keşfetti DroneEXEHijackingLoader.dllkampanyanın drone teknolojisi hırsızlığına odaklandığına dair kanıt sağlıyor.
Hedefler, çok aşamalı enfeksiyon süreçlerini başlatan truva atı haline getirilmiş PDF okuyucularıyla sahte iş tanımları aldı.
Welivesecurity analistleri, ana yükün, 2022’nin sonlarından bu yana Lazarus’un amiral gemisi kötü amaçlı yazılımı olarak hizmet veren gelişmiş bir uzaktan erişim truva atı olan ScoringMathTea olduğunu belirledi.
RAT, yaklaşık 40 komut yoluyla güvenliği ihlal edilmiş makineler üzerinde kapsamlı kontrol sağlayarak dosya manipülasyonuna, süreç kontrolüne ve veri sızmasına olanak tanır.
ScoringMathTea, WordPress dizinlerinde barındırılan, güvenliği ihlal edilmiş sunucular aracılığıyla komuta ve kontrol altyapısıyla iletişimi korur.
Kötü amaçlı yazılımın C&C trafiği, IDEA algoritmasını ve ardından base64 kodlamasını kullanan birden fazla şifreleme katmanı kullanır.
.webp)
Ağ analizi, güvenliği ihlal edilmiş alanlarla bağlantıları ortaya çıkardı: coralsunmarine[.]com, mnmathleague[.]orgVe spaincaramoon[.]com.
Gelişmiş Enfeksiyon Mekanizması ve Kaçınma Taktikleri
Lazarus grubu, kötü amaçlı yükleme rutinlerini GitHub’un meşru açık kaynaklı projelerine dahil ederek teknik gelişmişlik gösterdi.
Saldırganlar, TightVNC Viewer, MuPDF okuyucu ve WinMerge ile Notepad++ eklentileri dahil olmak üzere yazılımlara truva atı bulaştırdı.
Bu, iki avantaj sağlar: Kötü amaçlı yazılım, kötü amaçlı yükleri çalıştırırken güvenilir uygulamaların meşru görünümünü devralır.
Enfeksiyon zinciri, DLL yan yükleme ve proxy oluşturma tekniklerini kullanır. Aşağıdakiler gibi meşru yürütülebilir dosyalar wksprt.exe Ve wkspbroker.exe gibi kötü amaçlı kütüphaneleri yandan yükleme webservices.dll Ve radcui.dll.
Güvenliği ihlal edilen bu DLL’ler iki dışa aktarma kümesi içerir: uygulama davranışını korumaya yönelik proxy işlevleri ve sonraki aşamaları yükleyen kötü amaçlı kod.
Kötü amaçlı yazılım, bulaşma yaşam döngüsü boyunca güçlü şifreleme kullanır. Erken aşamadaki damlalıklar, şifrelenmiş verileri dosya sisteminden veya kayıt defterinden alır, AES-128 veya ChaCha20 algoritmalarını kullanarak bunların şifresini çözer ve ardından bunları belleğe yükler.
Bu, yansıtıcı DLL enjeksiyonu için MemoryModule kitaplığından yararlanır ve şifresi çözülmüş bileşenleri diske yazmadan kodun tamamen bellek içinde yürütülmesine olanak tanır.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
