SecurityScorecard’ın bir bölümü olan Strike tarafından yapılan yakın tarihli bir soruşturma, Kuzey Koreli İleri Kalıcı Tehdit (APT) grubu olan Lazarus Grubu’nun karmaşık ve geniş kapsamlı operasyonunu açıkladı.
“Phantom Operasyonu” olarak adlandırılan kampanya, tehlikeye atılan yazılım tedarik zincirleri ve ileri komut ve kontrol (C2) altyapısı yoluyla küresel sistemlere sızmak için kasıtlı ve sofistike bir çabayı vurgulamaktadır.
Operasyon öncelikle geliştiricileri ve kripto para birimi sektörünü hedefledi ve kritik veriler Pyongyang’a geri döndü.
Soruşturma, Lazarus’un Eylül 2024’te aktif hale gelen ve ek bir gizli operasyonel katman içeren birden fazla C2 sunucusu kullandığını ortaya koydu.
Sunucular, merkezi kontrolü sağlayan Node.js APIS ile entegre edilmiş reakt tabanlı bir Web-Admin arayüzü barındırdı.
Bu arayüzler aracılığıyla, saldırganlar pessed verileri sistematik olarak yönetebilir, enfekte olmuş sistemleri denetleyebilir ve yük dağıtımını yürütebilir.
Bu tutarlı tasarım, analiz edilen tüm C2 sunucularında belirgindi, bu da yüksek derecede operasyonel olgunluk ve standardizasyon olduğunu düşündürmektedir.
Tedarik zinciri saldırısı ve küresel etki
Lazarus, gizlenmiş arka kapıları gömerek, geliştiricileri tehlikeye atılmış uygulamaları dağıtmaya kandırarak meşru yazılım paketlerinden yararlandı.
Bu tedarik zinciri saldırıları, özellikle kripto para birimi alanında geniş bir kitleyi hedef aldı ve bu da ana bilgisayar sistemlerinde kötü amaçlı yüklerin yürütülmesine yol açtı.
Strike’in analizi, birçok kampanyada yüzlerce kurbanı tanımladı ve veri izleri Lazarus’un Kuzey Kore’deki altyapısına geri döndü.
Kasım 2024’ten Ocak 2025’e kadar süren operasyon, algılamadan kaçınmak için gizleme taktikleri ve katmanlı altyapı kullandı.
Altyapının temel unsurları arasında Astrill VPN’leri, Rus kuruluşlarına kayıtlı ara vekiller ve 1224 ve 1245 gibi bağlantı noktalarından yönetilen C2 sunucuları vardı.
Netflow analizi ve bağlantı günlükleri, Strike’ın Pyongyang’a atanan sınırlı adresler de dahil olmak üzere bu faaliyetleri Kuzey Koreli IPS’ye güvenle izlemesine izin verdi.
Gelişmiş gizleme teknikleri
Lazarus’un operasyonları stratejik şaşkınlığı özetledi. Trafik, VPN’ler ve vekiller yoluyla anonimleştirildi ve kötü niyetli etkinliği tespiti karmaşıklaştırmak için meşru ağ trafiği ile harmanladı.
Örneğin, Pyongyang’dan başlatılan trafik, Astrill VPN çıkış noktalarından yönlendirildi ve daha sonra Rusya’daki ara vekiller aracılığıyla maskelendi.
Stark Industries gibi kuruluşlar tarafından sağlanan altyapı üzerinde barındırılan C2 sunucuları, kimlik bilgileri ve sistem bilgileri de dahil olmak üzere hassas verileri yaymak için kullanıldı.
Temel bulgular arasında, yalnızca güvenli bir giriş yoluyla erişilebilen C2 sunucularında gizli bir Web-Admin panelinin kullanılması yer alır.
Bu panel, saldırganlara, kurban detaylarını göstererek ve özel yapım arayüzleri aracılığıyla veri manipülasyonunu kolaylaştırarak, eksfiltrasyonlu veriler üzerinde ayrıntılı kontrol sağladı.
Ayrıca, Lazarus Group’un Veri Aktarımı için Dropbox gibi ticari hizmetlere güvenmesi, sağlam operasyonel güvenlik önlemlerini daha da vurguladı.
Phantom Operasyonu devresinden elde edilen bulgular, özellikle yazılım tedarik zincirinde, yoğun siber güvenlik önlemlerine acil ihtiyacın altını çizmektedir.
Kuruluşlara titiz kod imzalama ve doğrulama süreçleri uygulamaları, ağ trafiğinin izlenmesini geliştirmeleri ve Lazarus gibi APT grupları tarafından kullanılan gelişen taktiklere karşı proaktif savunmalar kullanmaları tavsiye edilir.
Hindistan ve Brezilya’da önemli bir konsantrasyon da dahil olmak üzere, kampanyanın son aşamasında küresel olarak tanımlanan 233’ten fazla kurbanla operasyon, sofistike aktörlerin sömürebileceği güvenlik açıklarını kesin bir hatırlatma görevi görüyor.
Endüstriler, özellikle de hassas veya finansal verileri ele alanlar, işbirlikçi tehdit istihbarat paylaşımına öncelik vermeli ve bu tür kalıcı tehditlere karşı koymak için ileri algılama araçlarını benimsemelidir.
SOC/DFIR ekiplerinden misiniz? -kötü amaçlı yazılım dosyalarını ve bağlantılarını herhangi biriyle analiz edin. Run Sandox -> Ücretsiz dene