Finansal operasyonlarıyla ünlü, gelişmiş ve kararlı tehdit aktörü Lazarus, kripto para ünitelerini çalarak gelirini artırmak işçin Truva atına dönüştürülmüş, dağıtılmış, finans (DeFi) uygulamalarıyla taarruza geçti. Böylelikle Lazarus, kurbanlarının sistemleri üzerinde denetim sağlayan berbat hedefli yazılımları dağıtarak, kripto para cüzdanlarını yönetmek için kullanılan legal uygulamaları berbata kullanıyor.
Lazarus kümesi, 2009’dan beri faaliyet gösteren dünyanın en etkin APT aktörlerinden biri. Birçok devlet takviyeli APT kümesinin tersine Lazarus ile temaslı APT tehdit aktörleri, finansal çıkarı öncelikli amaçlarından biri haline getirdi. Kripto para piyasası, takas edilemeyen token (NFT) ve dağıtılmış finans (DeFi) pazarlarıyla birlikte büyürken, Lazarus kripto para kullanıcılarını hedeflemek için yeni yollar bulmaya devam ediyor.
Aralık 2021’de Kaspersky araştırmacıları, Lazarus kümesi tarafından sağlanan bir Truva Atı DeFi uygulamasını kullanarak kripto para çalmaya çalışan yeni bir makus maksatlı yazılım operasyonunu ortaya çıkardı. Uygulama, kripto para cüzdanlarını kaydeden ve yöneten DeFi Wallet isimli legal bir program içeriyor. Uygulama çalıştırıldığında, yasal uygulama yükleyicinin yanına makus hedefli bir evrak bırakılıyor ve makus gayeli yazılım Truva atlı bir yükleyici yoluyla başlatılıyor. Oluşturulan bu berbat hedefli yazılım, daha sonra Truva Atı uygulanmış bir formda legal uygulamanın üzerine ekleniyor.
Bu bulaşma sisteminde kullanılan makus maksatlı yazılım, kurbanın sistemlerini uzaktan denetim etme yeteneğine sahip tam özellikli bir art kapı özelliğinde. Saldırgan, sistemin denetimini ele geçirdikten sonra evrakları silebiliyor, bilgi toplayabiliyor, muhakkak IP adreslerine bağlanabiliyor ve komuta denetim sunucusuyla bağlantı kurabiliyor. Lazarus’un hücumlarının geçmişine dayanarak, araştırmacılar bu operasyonun ardındaki motivasyonun finansal yarar olduğunu varsayıyorlar. Bu art kapının fonksiyonlarını inceledikten sonra Kaspersky araştırmacıları, Lazarus kümesi tarafından kullanılan öbür araçlarla, CookieTime ve ThreatNeedle makus emelli yazılım kümeleriyle çok sayıda benzerlik keşfetti. Çok basamaklı bulaşma şeması, Lazarus’un altyapısında da ağır olarak kullanılıyor.
Kaspersky Global Araştırma ve Tahlil Grubu (GReAT) Kıdemli Güvenlik Araştırmacısı Seongsu Park, şunları söylüyor: “Lazarus’un kripto para ünitesi sanayisine olan ilgisini bir müddettir gözlemliyoruz ve bulaşma sürecine dikkat çekmeden, kurbanlarını cezbetmek için karmaşık metotlar geliştirdiklerini görüyoruz. Kripto para ünitesi ve blok zinciri tabanlı bölümler, gelişmeye ve daha yüksek seviyede yatırım çekmeye devam ediyor. Bu nedenle sadece dolandırıcıları ve kimlik avcılarını değil, birebir vakitte finansal olarak motive edilmiş APT kümeleri da dahil olmak üzere büyük oyuncuları da cezbediyorlar. Kripto para piyasasının büyümesiyle Lazarus’un bu kesime olan ilgisinin yakın vakitte azalmayacağını düşünüyoruz. Yakın tarihli bir kampanyada Lazarus, yasal bir DeFi uygulamasını taklit ederek ve kripto avcılığında yaygın olarak kullanılan bir taktik olan berbat maksatlı yazılımları bırakarak durumu berbata kullandı. Bu nedenle şirketleri, tanıdık ve inançlı görünseler bile bilinmeyen temaslar ve e-posta ekleri konusunda dikkatli olmaya çağırıyoruz.”
Securelist adresinden, Lazarus’un yeni operasyonu hakkında daha fazla bilgi edinebilirsiniz.
Bilinen yahut bilinmeyen tehdit aktörlerinin maksatlı hücumlarına maruz kalmamak için Kaspersky araştırmacıları aşağıdaki tedbirlerin uygulanmasını tavsiye ediyor:
- Permimetrede yahut ağın içinde keşfedilen zayıflıkları yahut makus niyetli öğeleri düzeltmek için ağlarda siber güvenlik kontrolü yapılmalı ve daima olarak izlenmelidir.
- Hedefli hücumların birçok kimlik avı yahut öbür toplumsal mühendislik teknikleriyle başladığından, işçiye temel siber güvenlik hijyeni eğitimi verilmelidir.
- Çalışanlar sırf emniyetli kaynaklardan ve resmi uygulama mağazalarından yazılım ve taşınabilir uygulamalar indirmeleri konusunda bilinçlendirilmelidir.
- Olayların vaktinde tespit edilmesini ve gelişmiş tehditlere karşılık verilmesini sağlamak için bir EDR eseri kullanılmalıdır. Kaspersky Managed Detection and Response üzere hizmetler, maksatlı taarruzlara karşı tehdit avlama yetenekleri sağlar.
- Hesap hırsızlığını, habersiz süreçleri ve kara para aklamayı tespit edip önleyerek kripto para süreçlerini koruyabilen bir dolandırıcılık aykırısı çözüm benimsenmelidir.
Kaynak: (BHA) – Beyaz Haber Ajansı
