Lazarus Group, Truva Atı Haline Getirilmiş VNC Uygulamaları Aracılığıyla Sahte Röportajlarla Savunma Uzmanlarını Hedef Alıyor
Kuzey Kore bağlantılı Lazarus, Dream Job Operasyonu olarak bilinen operasyonun bir parçası olarak savunma endüstrisini ve nükleer mühendisleri hedef almak için Sanal Ağ Hesaplama (VNC) uygulamalarının truva atı haline getirilmiş sürümlerini kullandığı gözlemlendi.
Kuzey Kore bağlantılı Lazarus Grubu (diğer adıyla Hidden Cobra veya TEMP. Hermit), Dream Job Operasyonu olarak bilinen uzun süredir devam eden bir kampanyanın parçası olarak savunma endüstrisini ve nükleer mühendisleri hedef almak için Sanal Ağ Hesaplama (VNC) uygulamalarının truva atı haline getirilmiş sürümlerini kullandığı gözlemlendi.
Kaspersky, 3'ün 2023. çeyreğine ilişkin APT trendleri raporunda, "Tehdit aktörü, sosyal medyada iş arayanları sahte iş görüşmeleri için kötü amaçlı uygulamalar açmaları için kandırıyor" dedi.
"Davranışa dayalı güvenlik çözümleri tarafından tespit edilmekten kaçınmak için, bu arka kapılı uygulama gizlice çalışır ve yalnızca kullanıcı truva atı haline getirilmiş VNC istemcisinin açılır menüsünden bir sunucu seçtiğinde etkinleşir."
Sahte uygulama, kurban tarafından başlatıldıktan sonra, güvenliği ihlal edilmiş ana bilgisayarların profilini çıkarma yetenekleriyle donatılmış olarak gelen LPEClient adlı bilinen bir Lazarus Group kötü amaçlı yazılımı da dahil olmak üzere ek yükleri almak için tasarlanmıştır.
Ayrıca, düşman tarafından konuşlandırılan, rastgele komutlar çalıştırmak, sistem keşfi yapmak ve veri sızdırmak için bilinen bir arka kapı olan COPPERHEDGE'in güncellenmiş bir sürümü ve ayrıca özellikle ilgilenilen dosyaları uzak bir sunucuya iletmek için tasarlanmış ısmarlama bir kötü amaçlı yazılımdır.
Son kampanyanın hedefleri, radar sistemleri, insansız hava araçları (İHA'lar), askeri araçlar, gemiler, silahlar ve denizcilik şirketleri dahil olmak üzere doğrudan savunma üretimine dahil olan işletmeleri içeriyor.
Dream Job Operasyonu, Kuzey Koreli bilgisayar korsanlığı ekibi tarafından düzenlenen ve potansiyel hedeflerle LinkedIn, Telegram ve WhatsApp gibi çeşitli platformlardan şüpheli hesaplar aracılığıyla, onları kötü amaçlı yazılım yüklemeleri için kandırmak için kazançlı iş fırsatları sunma bahanesiyle iletişime geçilen bir dizi saldırıyı ifade eder.
Geçen ayın sonlarında ESET, İspanya'daki isimsiz bir havacılık şirketini hedef alan bir Lazarus Group saldırısının ayrıntılarını açıkladı ve burada firma çalışanlarına, LightlessCan adlı bir implant teslim etmek için LinkedIn'de Meta için işe alım görevlisi gibi davranan tehdit aktörü tarafından yaklaşıldı.
Lazarus Group, siber casusluk ve finansal güdümlü hırsızlıklarla bağlantılı olan Kuzey Kore kaynaklı birçok saldırı programından sadece biridir.
Öne çıkan bir diğer bilgisayar korsanlığı ekibi, Keşif Genel Bürosu'na (RGB) bağlı diğer tehdit faaliyeti kümelerinden farklı olarak Devlet Güvenlik Bakanlığı'nın bir parçası olan APT37'dir (diğer adıyla ScarCruft) – yani APT43 (diğer adıyla Kimsuky) ve Lazarus Group (ve alt grupları Andariel ve BlueNoroff).
Google'ın sahibi olduğu Mandiant, bu ayın başlarında yaptığı açıklamada, "Farklı tehdit grupları araçları ve kodları paylaşırken, Kuzey Kore tehdit etkinliği, Linux ve macOS dahil olmak üzere farklı platformlar için özel kötü amaçlı yazılımlar oluşturmak üzere uyum sağlamaya ve değişmeye devam ediyor" dedi.
Kaspersky'ye göre ScarCruft, RokRAT (diğer adıyla BlueLight) kötü amaçlı yazılımının teslim edilmesiyle sonuçlanan yeni bir kimlik avı saldırı zinciri kullanarak Rusya ve Kuzey Kore ile bağlantılı bir ticaret şirketini hedef aldı ve münzevi krallığın Rusya'yı hedef almaya yönelik devam eden girişimlerinin altını çizdi.
Dahası, göze çarpan bir diğer değişiklik, Andariel, APT38, Lazarus Group ve APT43 gibi çeşitli Kuzey Koreli bilgisayar korsanlığı ekipleri arasındaki altyapı, araç ve hedefleme örtüşmeleridir, bu da ilişkilendirme çabalarını bulandırır ve düşmanca faaliyetlerin düzene sokulmasına işaret eder.
Mandiant, buna "kripto para birimi ve blok zinciri endüstrilerindeki yüksek değerli hedeflerin arka kapı platformlarına macOS kötü amaçlı yazılımlarının geliştirilmesine artan ilgi" eşlik ettiğini söyledi.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı