Ünlü Lazarus Gelişmiş Kalıcı Tehdit (APT) grubu, kripto para birimi temalı bir oyunu yem olarak kullanarak Google Chrome tarayıcısındaki sıfır gün güvenlik açığından yararlandı.
Saldırı, finansal motivasyonları ve gelişmiş sosyal mühendislik stratejileriyle tanınan Kuzey Kore bağlantılı bu grubun gelişen taktiklerini vurguluyor.
13 Mayıs 2024’te Kaspersky’nin güvenlik sistemleri Rusya’daki bir kişisel bilgisayarda yeni bir enfeksiyon tespit etti ve Google Chrome’daki sıfır gün güvenlik açığından yararlanıldığını ortaya çıkardı.
Saldırının izi detankzone adlı bir web sitesine kadar uzanıyor[.]Merkezi olmayan finans (DeFi) NFT tabanlı çok oyunculu çevrimiçi savaş arenası (MOBA) tank oyunu için meşru bir ürün sayfası kılığına giren com.
Ulusal Siber Güvenlik Farkındalığı Ayı Siber Zorluklar – Becerilerinizi Şimdi Test Edin
Güvenlik Açıklarından Yararlanma
Ancak görünüşte zararsız görünümünün altında, kullanıcıların tarayıcılarını istismar etmek ve sistemleri üzerinde kontrol sahibi olmak için tasarlanmış kötü amaçlı bir komut dosyası yatıyordu.
Bu istismar iki güvenlik açığından yararlandı. Bunlardan ilki, saldırganların Chrome süreci içerisinde bellek okumasına ve yazmasına izin verirken, ikincisi, belleği yalıtmak ve yetkisiz kod yürütülmesini önlemek için tasarlanmış bir güvenlik özelliği olan V8 sanal alanını atladı.
Bu karmaşık saldırı, bilgisayar korsanlarının kurbanların makinelerinde rastgele kod yürütmesine olanak sağladı.
Kaspersky, açıktan yararlanmanın farkına varır varmaz durumu derhal Google’a bildirdi. İki gün içinde Google, Chrome’un 125.0.6422.60 sürümündeki güvenlik açığını (CVE-2024-4947) gideren bir güncelleme yayınladı.
Ayrıca Google, detankzone’a erişimi engelledi[.]Kullanıcıları daha sonraki saldırılara karşı korumak için com ve ilgili kötü amaçlı siteler.
Lazarus APT’nin kampanyası, teknik istismarların ötesine geçerek ayrıntılı sosyal mühendislik çabalarını da kapsayacak şekilde genişledi. Grup, sahte oyunlarını tanıtmak için bir sosyal medya varlığı oluşturdu, hatta erişimlerini artırmak için kripto para birimi etkileyicilerine ulaştı.
Bu çok yönlü yaklaşım, Lazarus’un saldırılarıyla ilgili ikna edici anlatılar oluşturma konusundaki kararlılığının altını çiziyor.
Saldırganlar, aldatma stratejilerinin bir parçası olarak görünüşte meşru bir oyun geliştirdiler. Başlangıçta Unity’de geliştirilen orijinal bir ürün olarak görünen oyun, DeFiTankLand (DFTL) adlı mevcut bir oyundan çalınan kaynak koduna dayanıyordu.
Bu eklenen özgünlük katmanı, kötü niyetli kampanyayı potansiyel kurbanlar için daha inandırıcı ve cazip hale getirdi.
Lazarus grubunun sıfır gün güvenlik açıklarını ve gelişmiş sosyal mühendislik taktiklerini kullanması, bireyler ve kuruluşlar için önemli tehditler oluşturmaktadır. Saldırı yöntemlerine uyum sağlama ve yenilik yapma yetenekleri, bu tür tehditlerin devam edeceğini ve gelişeceğini gösteriyor.
Son kullanıcılar için dikkatli olmak çok önemlidir. Yazılımın düzenli olarak güncellenmesi ve istenmeyen bağlantılarla veya indirmelerle etkileşimde bulunurken dikkatli olunması riskleri azaltabilir.
Tarayıcı geliştiricileri JIT derleyicileri ve korumalı alanlar gibi güvenlik özelliklerini geliştirmeye devam ettikçe, kullanıcıların ortaya çıkan tehditlere karşı koruma sağlamak için sistemlerini güncel tutmaları teşvik ediliyor.
Tehdit aktörleri tekniklerini geliştirmeye ve sosyal mühendislik için üretken yapay zeka gibi yeni teknolojilerden yararlanmaya devam ediyor; Bu karmaşık saldırılara karşı korunmak için siber güvenlik önlemlerinin buna göre gelişmesi gerekiyor.
Free Webinar on How to Protect Small Businesses Against Advanced Cyberthreats -> Watch Here