GİZLİ KOBRA olarak da bilinen, Kuzey Kore bağlantılı sofistike bir bilgisayar korsanlığı grubu olan Lazarus, Avrupalı drone üreticilerine ve savunma yüklenicilerine karşı yeni bir hedefli saldırı dalgası başlattı.
DreamJob Operasyonu olarak takip edilen kampanya, Mart 2025’in sonlarında ortaya çıktı ve özellikle Orta ve Güneydoğu Avrupa’da insansız hava aracı teknolojisi geliştiren kuruluşları hedef alıyor.
Araştırmacılar, bu faaliyetin, özellikle Rusya-Ukrayna ihtilafında gözlemlenen modern savaş yeteneklerine yapılan yatırımın artmasının ardından, Kuzey Kore’nin yerli drone programını hızlandırmaya yönelik daha geniş bir stratejik çabanın parçası olduğunu tespit etti.
Kampanya, havacılık ve savunma sektörlerinden tescilli üretim bilgilerini ve fikri mülkiyet haklarını çalmayı amaçlayan siber casusluk taktiklerinde önemli bir artışı temsil ediyor.
Üç Avrupalı şirketin hedef olduğu doğrulandı; en az iki şirket, gelişmiş tek rotorlu insansız hava araçlarının tasarlanması ve şu anda aktif çatışma bölgelerinde konuşlandırılan kritik İHA bileşenlerinin üretilmesiyle yoğun olarak ilgileniyor.
Bu saldırıların zamanlaması, Kuzey Kore’nin MQ-9 Reaper ve RQ-4 Global Hawk gibi Batılı modellere benzer muharebe ve keşif insansız hava araçlarının seri üretimine yönelik bildirilen çabalarıyla örtüşüyor.
Welivesecurity analistleri ve araştırmacıları, bu saldırılarda kullanılan kötü amaçlı yazılım altyapısının, geleneksel güvenlik savunmalarından kaçmak için tasarlanmış karmaşık dağıtım mekanizmaları kullandığını belirtti.
.webp)
Saldırı, çalışanları truva atı haline getirilmiş belgeleri indirmeleri için kandırmak amacıyla özellikle prestijli pozisyonlar için sahte iş teklifleri kullanan sosyal mühendislikle başlıyor.
Kötü amaçlı yazılım yürütüldükten sonra, kalıcı erişimi sürdürmek ve güvenliği ihlal edilmiş sistemlerde tespit edilmekten kaçınmak için tasarlanmış bir dizi özel araç dağıtır.
Enfeksiyon mekanizması
Birincil bulaşma mekanizması, meşru Windows uygulamalarının güvenlik uyarılarını tetiklemeden kötü amaçlı kitaplıkları yüklemek için kullanıldığı bir teknik olan DLL yan yüklemesine dayanır.
.webp)
Saldırganlar, kötü amaçlı yazılımlarını, TightVNC Viewer, MuPDF okuyucu ve WinMerge eklentileri dahil olmak üzere popüler açık kaynaklı yazılımların truva atı haline getirilmiş sürümlerine dahil etti.
Özellikle açıklayıcı bir dosya, saldırganların drone teknolojisine yönelik kampanyasına doğrudan atıfta bulunan DroneEXEHijackingLoader.dll dahili dosya adını içeriyordu.
Tüm olaylara dağıtılan ana yük, saldırganlara ele geçirilen makineler üzerinde tam kontrol sağlayan bir uzaktan erişim truva atı olan ScoringMathTea’dir.
Bu gelişmiş kötü amaçlı yazılım, sistem manipülasyonu, dosya sızdırma ve daha fazla veri dağıtımı için yaklaşık 40 farklı komut sunar.
ScoringMathTea’yi özellikle tehlikeli kılan şey, diskte tamamen şifrelenmiş olarak kalabilmesi, yalnızca yürütme sırasında bellekte şifreyi çözebilmesi ve gelişmiş davranışsal izleme olmadan geleneksel dosya tabanlı algılamayı neredeyse imkansız hale getirmesidir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
