Lazarus Group, Truva Atı Haline Getirilmiş VNC Uygulamaları Aracılığıyla Sahte Röportajlarla Savunma Uzmanlarını Hedef Alıyor

Kuzey Kore bağlantılı Lazarus Grubu (diğer adıyla Hidden Cobra veya TEMP. Hermit), Dream Job Operasyonu olarak bilinen uzun süredir devam eden bir kampanyanın parçası olarak savunma endüstrisini ve nükleer mühendisleri hedef almak için Sanal Ağ Hesaplama (VNC) uygulamalarının truva atı haline getirilmiş sürümlerini kullandığı gözlemlendi.

Kaspersky, 3'ün 2023. çeyreğine ilişkin APT trendleri raporunda, "Tehdit aktörü, sosyal medyada iş arayanları sahte iş görüşmeleri için kötü amaçlı uygulamalar açmaları için kandırıyor" dedi.

"Davranışa dayalı güvenlik çözümleri tarafından tespit edilmekten kaçınmak için, bu arka kapılı uygulama gizlice çalışır ve yalnızca kullanıcı truva atı haline getirilmiş VNC istemcisinin açılır menüsünden bir sunucu seçtiğinde etkinleşir."

Sahte uygulama, kurban tarafından başlatıldıktan sonra, güvenliği ihlal edilmiş ana bilgisayarların profilini çıkarma yetenekleriyle donatılmış olarak gelen LPEClient adlı bilinen bir Lazarus Group kötü amaçlı yazılımı da dahil olmak üzere ek yükleri almak için tasarlanmıştır.

Ayrıca, düşman tarafından konuşlandırılan, rastgele komutlar çalıştırmak, sistem keşfi yapmak ve veri sızdırmak için bilinen bir arka kapı olan COPPERHEDGE'in güncellenmiş bir sürümü ve ayrıca özellikle ilgilenilen dosyaları uzak bir sunucuya iletmek için tasarlanmış ısmarlama bir kötü amaçlı yazılımdır.

Son kampanyanın hedefleri, radar sistemleri, insansız hava araçları (İHA'lar), askeri araçlar, gemiler, silahlar ve denizcilik şirketleri dahil olmak üzere doğrudan savunma üretimine dahil olan işletmeleri içeriyor.

Dream Job Operasyonu, Kuzey Koreli bilgisayar korsanlığı ekibi tarafından düzenlenen ve potansiyel hedeflerle LinkedIn, Telegram ve WhatsApp gibi çeşitli platformlardan şüpheli hesaplar aracılığıyla, onları kötü amaçlı yazılım yüklemeleri için kandırmak için kazançlı iş fırsatları sunma bahanesiyle iletişime geçilen bir dizi saldırıyı ifade eder.

Geçen ayın sonlarında ESET, İspanya'daki isimsiz bir havacılık şirketini hedef alan bir Lazarus Group saldırısının ayrıntılarını açıkladı ve burada firma çalışanlarına, LightlessCan adlı bir implant teslim etmek için LinkedIn'de Meta için işe alım görevlisi gibi davranan tehdit aktörü tarafından yaklaşıldı.

Lazarus Group, siber casusluk ve finansal güdümlü hırsızlıklarla bağlantılı olan Kuzey Kore kaynaklı birçok saldırı programından sadece biridir.

Öne çıkan bir diğer bilgisayar korsanlığı ekibi, Keşif Genel Bürosu'na (RGB) bağlı diğer tehdit faaliyeti kümelerinden farklı olarak Devlet Güvenlik Bakanlığı'nın bir parçası olan APT37'dir (diğer adıyla ScarCruft) – yani APT43 (diğer adıyla Kimsuky) ve Lazarus Group (ve alt grupları Andariel ve BlueNoroff).

Google'ın sahibi olduğu Mandiant, bu ayın başlarında yaptığı açıklamada, "Farklı tehdit grupları araçları ve kodları paylaşırken, Kuzey Kore tehdit etkinliği, Linux ve macOS dahil olmak üzere farklı platformlar için özel kötü amaçlı yazılımlar oluşturmak üzere uyum sağlamaya ve değişmeye devam ediyor" dedi.

Kaspersky'ye göre ScarCruft, RokRAT (diğer adıyla BlueLight) kötü amaçlı yazılımının teslim edilmesiyle sonuçlanan yeni bir kimlik avı saldırı zinciri kullanarak Rusya ve Kuzey Kore ile bağlantılı bir ticaret şirketini hedef aldı ve münzevi krallığın Rusya'yı hedef almaya yönelik devam eden girişimlerinin altını çizdi.

Dahası, göze çarpan bir diğer değişiklik, Andariel, APT38, Lazarus Group ve APT43 gibi çeşitli Kuzey Koreli bilgisayar korsanlığı ekipleri arasındaki altyapı, araç ve hedefleme örtüşmeleridir, bu da ilişkilendirme çabalarını bulandırır ve düşmanca faaliyetlerin düzene sokulmasına işaret eder.

Mandiant, buna "kripto para birimi ve blok zinciri endüstrilerindeki yüksek değerli hedeflerin arka kapı platformlarına macOS kötü amaçlı yazılımlarının geliştirilmesine artan ilgi" eşlik ettiğini söyledi.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği