Kuzey Koreli Lazarus hackerları Avrupalı ​​savunma şirketlerini hedef aldı

Kuzey Koreli Lazarus bilgisayar korsanları, sahte işe alım tuzaklarından yararlanan koordineli bir DreamJob Operasyonu kampanyası aracılığıyla savunma sektöründeki üç Avrupalı ​​şirketin güvenliğini tehlikeye attı.

Tehdit grubunun faaliyeti Mart ayının sonlarında tespit edildi ve insansız hava aracı (İHA) teknolojisinin geliştirilmesinde yer alan kuruluşları hedef aldı.

‘DreamJob Operasyonu’, büyük bir şirkette (gerçek ya da sahte) işe alım sorumlusu olarak poz veren düşmanın, yüksek profilli bir rol için iş teklifleriyle ilgili bir kuruluştaki çalışanlara yaklaştığı, uzun süredir devam eden bir Lazarus kampanyasıdır.

Hedefler, bilgisayar korsanlarının hedef şirketin sistemlerine erişmesini sağlayan kötü amaçlı dosyaları indirmeleri için kandırılır.

Taktik geçmişte kripto para birimi ve DeFi firmalarına, yazılım geliştiricilerine, gazetecilere, güvenlik araştırmacılarına ve ayrıca havacılık endüstrisi de dahil olmak üzere savunma sektöründeki kuruluşlara karşı kullanılmıştı.

Siber güvenlik şirketi ESET’teki araştırmacılar, analiz ettikleri en son DreamJob Operasyonunda Lazarus’un, mevcut jeopolitik gelişmelerle uyumlu ve Kuzey Kore’nin Batı tasarımlarından “ilham alan” bir insansız hava aracı cephaneliği inşa etme çabalarının artmasıyla örtüşen İHA ile ilgili teknolojiye odaklandığını söylüyor.

Drone bileşenlerinin yapımcıları hedefleniyor

ESET Mart ayının sonlarında şunu gözlemledi: “vahşi ortamda [DreamJob] Saldırılar, her ikisi de Orta Avrupa’da bulunan Güneydoğu Avrupa’daki bir metal mühendislik firmasını, bir uçak parçası üreticisini ve bir savunma şirketini art arda hedef aldı.

Ancak siber güvenlik şirketi, bilgisayar korsanlarının üç şirketi hedef alarak elde ettiği başarıya ilişkin herhangi bir ayrıntı vermedi.

Her üç şirket de, ülkelerinin askeri yardımlarının bir parçası olarak şu anda Ukrayna’da konuşlandırılan askeri teçhizat üretiyor.

Ancak bunlardan ikisi, “birinin kritik drone bileşenleri ürettiği, diğerinin ise İHA ile ilgili yazılımın tasarımıyla meşgul olduğu açıkça İHA teknolojisinin geliştirilmesiyle ilgileniyor.”

Enfeksiyon zincirini analiz eden araştırmacılar, bunun kurbanın MuPDF görüntüleyici, Notepad++, WinMerge eklentileri, TightVNC Viewer, libpcre ve DirectX sarmalayıcıları gibi truva atı bulaşmış bir açık kaynaklı uygulamayı veya eklentiyi başlatmasıyla başladığını buldu.

Truva atı haline getirilmiş DLL veya kötü amaçlı yazılım düşürücünün yüklenmesi, kötü amaçlı yükü yüklemek için meşru ancak savunmasız bir yazılım kullanan bir kaçırma tekniği olan DLL yan yükleme yoluyla gerçekleştirildi.

Bir sonraki aşamada yükün şifresi çözülür ve MemoryModule tarzı rutinler kullanılarak doğrudan belleğe yüklenir.

Son aşamadaki kötü amaçlı yazılım ise komuta-kontrol (C2) altyapısı ile iletişim kuran ve talimatları bekleyen ScoringMathTea RAT (Uzaktan Erişim Trojan)’dır.

Alternatif bir bulaşma zincirinde, ek yükleri almak için Microsoft Graph API’sini ve belirteçlerini kötüye kullanan RAT yerine BinMergeLoader (MISTPEN) adlı bir kötü amaçlı yazılım yükleyicisi kullanılıyor.

İlk olarak 2023’te belgelenen ScoringMathTea RAT, en son sürümünde 40 komutu destekliyor ve bu da saldırganlara komut yürütmeden yeni kötü amaçlı yazılımları bırakmaya kadar geniş bir operasyonel çok yönlülük yelpazesi sunuyor.

ESET şöyle açıklıyor: “Uygulanan işlevsellik, Lazarus’un gerektirdiği olağan işlevlerdir: dosya ve süreçlerin manipülasyonu, yapılandırmanın değiştirilmesi, kurbanın sistem bilgilerinin toplanması, TCP bağlantısının açılması ve yerel komutların veya C&C sunucusundan indirilen yeni yüklerin yürütülmesi”.

ESET, DreamJob Operasyonu taktiklerinin ve sosyal mühendislik tuzaklarının raporlar yoluyla defalarca ifşa edilmesine rağmen, bunun Kuzey Koreli tehdit aktörleri için etkili bir çalışma yöntemi olmaya devam ettiğini belirtiyor.

Siber güvenlik şirketi, Lazarus bilgisayar korsanlarının savunma sektöründeki Avrupalı ​​kuruluşlara karşı DreamJob kampanyasında kullandıkları etki alanları ve kötü amaçlı araçlar için kapsamlı bir güvenlik ihlali göstergeleri (IoC) seti sağlıyor.