Eylül 2024’ten bu yana, SecurityScorecard’ın grev ekibi Lazarus Group’un etkinliğini araştırıyor ve altyapıları hakkında temel ayrıntıları ortaya çıkarıyor. Yük teslimi ve gizleme tekniklerindeki değişikliklere rağmen, kampanya tutarlı bir C2 çerçevesine dayanıyordu.
Gizli kontrol paneli
Derin analiz yoluyla, araştırmacılar C2 sunucuları içinde gizli bir yönetim katmanı belirlediler ve saldırganlara tehlikeye atılan sistemler üzerinde merkezi kontrol sağladılar. React and Node.js ile oluşturulan bu web tabanlı yönetim platformu, Lazarus’u etkinleştirdi:
- Pessfiltrated verileri tam olarak organize edin ve yönetin.
- Dünya çapında tehlikeye atılan sistemleri denetleyin.
- Tek bir arayüzden yükler teslim edin ve işlemleri yürütün.
Analiz edilen tüm C2 sunucularında tutarlı olan bu merkezi merkez, Lazarus’a tespitten kaçınmak için sofistike teknikler kullansa bile operasyonel gözetim sağladı.
Global Yazılım Tedarik Zinciri Saldırısı
Lazarus Group, kötü niyetli arka kolları meşru yazılım paketlerine yerleştirerek bir tedarik zinciri saldırısı gerçekleştirdi. Bu değiştirilmiş paketler – kripto para birimi uygulamalarından kimlik doğrulama çözümlerine kadar – kandırılmış geliştiricileri ve kurbanları bilmeden tehlikeye atılmış yazılımı yüklemeye. Yürütüldükten sonra, yükler veri açığa çıkma ve sistem uzlaşmasını kolaylaştırdı.
Kuzey Kore’ye atıf
Netflow analizi ve zamansal trafik kalıplarını kullanarak Strike, operasyonu Kuzey Kore’nin Pyongyang kentine kadar yüksek bir güvenle izledi. Kampanya, Rusya’da Sky Freight Limited’e kayıtlı astrill VPN’ler ve proxy sunucuları aracılığıyla trafiği yönlendirerek çok katmanlı bir şaşkınlık stratejisinden yararlandı ve sonuçta grubun kökenlerini maskeledi.
Temel bulgular şunları içerir:
- Operasyona bağlı altı farklı Kuzey Kore IP adresi.
- Astrill VPN uç noktaları ve proxy’ler kötü niyetli trafiği meşru aktivite ile harmanlamak için kullanılır.
- 233 Küresel kurbanlar, öncelikle kripto para birimi endüstrisinde, Eylül 2024 ile Ocak 2025 arasında tanımlanmıştır.
“Bu operasyon, yazılım tedarik zinciri saldırılarının artan karmaşıklığını ve devlet destekli tehdit aktörlerinin küresel erişimini vurgulamaktadır” diye açıklıyor Strikal Araştırma ve Tehdit İstihbaratı SVP’si Ryan Sherstobitoff. “Lazarus Group’un altyapısını ve yöntemlerini ortaya çıkararak, siber güvenlik topluluğuna gelecekte benzer saldırılara karşı savunmak için gereken araçları sunuyoruz.”