Kaspersky, Lazarus APT’nin nükleer kuruluşları hedef alan yeni CookiePlus kötü amaçlı yazılımını keşfetti
Kaspersky’nin Global Araştırma ve Tahlil Takımı (GReAT) tarafından yapılan açıklamaya nazaran, Lazarus’un “Operation DreamJob” ismi verilen değerli operasyonu, beş yılı aşkın müddettir devam eden yeni ve sofistike taktiklerle evrilmeye devam ediyor.
Kaspersky’nin Global Araştırma ve Tahlil Grubu (GReAT) tarafından yapılan açıklamaya nazaran, Lazarus’un “Operation DreamJob” ismi verilen değerli operasyonu, beş yılı aşkın müddettir devam eden yeni ve sofistike taktiklerle evrilmeye devam ediyor. Son amaçlar ortasında, nükleer alanla ilgili bir kuruluşun çalışanları bulunuyor. Bu bireyler, IT profesyonelleri için hazırlanan yetenek kıymetlendirme testleri üzere görünen, tehlikeli hale getirilmiş üç farklı arşiv belgesi aracılığıyla enfekte edildi. Süregelen bu kampanya, yeni keşfedilen ve açık kaynaklı bir eklenti üzere gizlenen CookiePlus isimli modüler bir art kapı yazılımı da dahil olmak üzere, gelişmiş makus maksatlı yazılımlar kullanıyor.
Kaspersky’nin Global Araştırma ve Tahlil Grubu (GReAT), makûs şöhretli Lazarus kümesiyle irtibatlı olan ve “DeathNote” olarak da bilinen Operation DreamJob ile alakalı yeni bir kampanya keşfetti. Birinci olarak 2019 yılında ortaya çıkan ve dünya genelindeki kripto para işletmelerini amaç alan bu kampanya, yıllar içinde kıymetli ölçüde evrildi. 2024 yılında, Avrupa, Latin Amerika, Güney Kore ve Afrika’daki IT ve savunma şirketlerini gaye alacak biçimde genişledi. Kaspersky’nin son raporu, bu operasyonun yeni bir kademesine dair kıymetli bilgiler sunuyor. Rapora nazaran, kampanya Brezilya’daki nükleer irtibatlı bir kuruluşun çalışanlarını ve Vietnam’daki kimliği meçhul bir kesimde çalışan bireyleri gaye alıyor.
Bir ay içerisinde Lazarus, tıpkı kuruluştan en az iki çalışanı amaç alarak, önde gelen havacılık ve savunma şirketlerindeki IT durumları için yetenek kıymetlendirme testleri üzere görünen birden fazla arşiv belgesi gönderdi. Birinci etapta, Lazarus birebir kuruluştaki A ve B isimli iki çalışana bu arşiv belgelerini ulaştırdı. Bir ay sonra ise birinci maksat üzerinde daha agresif hücumlar gerçekleştirmeye çalıştı. Birinci talimatları iletmek ve gayelere erişim sağlamak için muhtemelen LinkedIn üzere iş arama platformlarını kullandılar.
Lazarus, dağıtım yollarını geliştirerek ve farklı tiplerde makus gayeli yazılımları içeren karmaşık bir enfeksiyon zinciriyle kalıcılığını artırarak faaliyetlerini sürdürüyor. Bu metotlar ortasında bir indirici, yükleyici ve art kapı yazılımı yer alıyor. Küme, trojanlaştırılmış VNC yazılımı, Windows için uzaktan masaüstü görüntüleyici ve öbür bir yasal VNC aracı kullanarak çok basamaklı bir hücum gerçekleştirdi. Birinci basamakta, berbat hedefli bir AmazonVNC.exe belgesi kullanılarak, VNC yürütülebilir evrakının dahili kaynaklarını çıkarmak için Ranid Downloader isimli bir indirici şifresi çözüldü ve çalıştırıldı. İkinci bir arşiv, MISTPEN isimli makûs maksatlı yazılımı yükleyen berbat maksatlı bir vnclang.dll evrakını içeriyordu. Bu yazılım, RollMid ve LPEClient’ın yeni bir varyantı da dahil olmak üzere ek yükleri indirdi.
Kurban ana bilgisayarında oluşturulan makûs hedefli evrakların rotası
Ayrıca, GReAT uzmanlarının CookiePlus ismini verdiği, daha evvel görülmemiş bir eklenti tabanlı art kapı yazılımı da kullandılar. Bu makus maksatlı yazılım, açık kaynaklı bir Notepad++ eklentisi olan ComparePlus, olarak gizlenmişti. Sisteme yerleştikten sonra, bilgisayar ismi, süreç kimliği ve evrak yolları üzere sistem datalarını topluyor ve ana modülünü belli bir müddet “uyku” modunda bırakıyordu. Ayrıyeten, bir yapılandırma belgesini değiştirerek çalıştırma takvimini ayarlıyordu.
Kaspersky Küresel Araştırma ve Tahlil Grubu güvenlik uzmanı Sojun Ryu.”Operation DreamJob, kimlik hırsızlığı yahut casusluk emeliyle kullanılabilecek hassas sistem bilgilerini topladığı için bilgi hırsızlığı üzere kıymetli riskler barındırıyor. Makus hedefli yazılımın hareketlerini geciktirebilme yeteneği, sisteme sızdığı anda tespit edilmesini engelleyerek sistemde daha uzun müddet kalmasına imkan tanıyor. Muhakkak yürütme vakitlerini ayarlayarak, fark edilmeden çalışabileceği aralıklarda faaliyet gösterebiliyor. Ayrıyeten, sistem süreçlerini manipüle edebilmesi, tespit edilmesini zorlaştırıyor ve sistem üzerinde daha fazla ziyan yahut istismar potansiyeli yaratabiliyor.’”
Kaynak: (BYZHA) Beyaz Haber Ajansı