Kuzey Kore devlet destekli kötü şöhretli bilgisayar korsanlığı grubu Lazarus Group, Microsoft’un Web İşareti (MoTW) güvenlik özelliğinden kaçan en son tehdit grubu haline geldi. Lazarus, taktiği BlueNoroff alt grubu aracılığıyla risk sermayesi şirketleri, kripto girişimleri ve bankalara yönelik son kampanyasında kullandı.
Siber güvenlik firması Kaspersky’ye göre, grup, düşük etkinlik döneminden sonra tekrar aktif hale geldi ve kötü amaçlı yazılımını dağıtmanın yeni yollarını deniyor.
Araştırmacılar, planları için 70’in üzerinde alan adı kullanan grubun çok aktif olduğunu buldu. Ek olarak, çoğu Japon risk sermayesi şirketlerini taklit eden risk sermayesi ve banka alanlarına benzeyen çok sayıda sahte alan oluşturdular.
Windows’un çeşitli sürümlerinde bulunan iki güvenlik açığı, bilgisayar korsanlarının, kötü amaçlı ekleri ve dosyaları, Karanlık Okuma Ekim ayında bildirildi.
Lazarus ve risk sermayesi hedefleri
“Grubun benimsediği ilk yeni yöntem, kullanıcının internetten indirilen bir dosyayı açmaya çalıştığında Windows’un bir uyarı mesajı görüntülediği güvenlik önlemi olan Web İşareti (MOTW) bayrağından kaçınmayı hedefliyor.” yazdı Kaspersky araştırmacısı Seongsu Park.
“Bunun için optik disk imajı (.iso uzantılı) ve sanal hard disk (.vhd uzantılı) dosya formatları kullanıldı. Bu, günümüzde MOTW’den kaçınmak için kullanılan yaygın bir taktiktir ve BlueNoroff da bunu benimsemiştir.”
BlueNoroff, bu saldırıları gerçekleştirmek için gerçek risk sermayesi şirketlerini ve bankaları taklit eden 70’in üzerinde sahte alan oluşturdu. Bu sahte alan adlarının birçoğu Japon şirketleri gibi görünse de bazıları Amerikan ve Vietnam şirketleri gibi davranmıştır.
Grup ayrıca farklı dosya türleri ve kötü amaçlı yazılım dağıtım yöntemleri ile deneyler yapıyor. Kötü amaçlı yazılım bir kez yerleştirildikten sonra, içerik indirmeyle ilgili güvenlik uyarılarını atlayabilir ve büyük kripto para transferlerini engelleyerek alıcının adresini değiştirebilir ve tek bir işlemde hesabı boşaltabilir.
BlueNoroff ve Lazarus’un Evrimi
BlueNoroff, ilk olarak 2016 yılında Bangladeş merkez bankasına saldırdıktan sonra tanımlandı. Nisan ayında, ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi ve Federal Soruşturma Bürosu, diğer Kuzey Kore siber tehditleriyle birlikte grup hakkında bir uyarı yayınladı.
Son haftalarda, Lazarus Group aktörlerinin misli olmayan tokenleri çalmaya çalıştıkları da gözlemlendi. The Cyber Express’in Ekim ayında bildirdiğine göre Lazarus, Japon kripto para birimi borsalarının çalışanlarına yönelik kimlik avı kampanyaları başlatıyor ve işletmeleri başarıyla tehlikeye atıyor.
Lazarus grupları son zamanlarda operasyonlarında bazı anti-adli teknikler kullandılar, kayıt edilmiş Trend Micro tehdit istihbarat raporu.
Raporda, “Lazarus operasyonlarının sonraki yıllarında, özellikle BlueNoroff alt grubuyla ilgili operasyonlarda, kötü amaçlı yazılımları için bileşen ayırmayı kullandılar” denildi.
“Ayrıca komut satırı arka kapılarından ve yükleyicilerden yararlanıyor. Bileşenleri ayırmanın yanı sıra, yürütme için belirli argümanlar da gerektirirler.”
Belirtilen diğer tekniklerden bazıları, kampanya tamamlandıktan sonra saldırganın faaliyetlerinin izlerini silmek için disk silmeyi içerir.