BİZE ULAŞIN
İstanbul, 9 Ocak (DHA) - Kaspersky Global Araştırma ve Analiz Ekibi (GReAT) 2018’de Lazarus tarafından kripto para birimlerini hedef alan AppleJeus saldırısının çok daha dikkatli adımlar, gelişmiş taktikler ve prosedürlerle sürdüğünü gösterdiğini duyurdu.
Kaspersky, Lazarus’un aktif ve yaygın gelişmiş kalıcı tehdit (APT) gruplarından biri olan Lazarus’un geçmişte kripto para birimleriyle ilgili kurumları hedef aldığı saldırılarla bilindiğini ve 2018’de düzenlenen ilk AppleJeus saldırısında grubun, kötü amaçlı uygulamasını dağıtmak için sahte bir kripto para birimi şirketi oluşturduğunu açıklamıştı.
Kaspersky araştırmacıları devam eden operasyonda grubun saldırı taktiklerini önemli ölçüde değiştirdiğini keşfetti. Buna göre, 2019 saldırısındaki vektörler bazı ekstralarla birlikte bir önceki yıla göre benzerlik gösterdi. Lazarus son saldırısında da kripto para birimleriyle ilgili sahte web siteleri kurarak buralarda sahte kurumsal Telegram kanalları paylaştı ve zararlı yazılım da bu kanallar üzerinden dağıtıldı.
Kaspersky’ye göre, İlk AppleJeus operasyonunda olduğu gibi bu saldırı da iki aşamadan oluştu. Kullanıcılar öncelikle uygulamayı indiriyor, ardından da uygulama bir sonraki parçayı bir uzak sunucudan alıp kuruyordu. Böylece saldırganlar, kalıcı bir arka kapı üzerinden cihazın kontrolünü tamamen ele alabiliyordu. Ancak bu kez, zararlı bölüm davranış tabanlı tespit çözümlerine yakalanmamak için daha dikkatli bir şekilde sunuldu. macOS tabanlı hedeflere yönelik saldırılarda, macOS dosya indiricisine bir de kimlik doğrulama mekanizması eklendi. Ayrıca yazılımın geliştirilme altyapısının değiştiği ve dosyasız bir bulaştırma yönteminin kullanıldığı belirlendi. Saldırganlar Windows kullanıcılarını hedef alırken Fallchill adlı zararlı yazılımı kullanmaktan vazgeçerek yalnızca belirli kontrollerden geçebilen spesifik sistemlerde çalışan yeni bir zararlı yazılım geliştirdi. Bu değişiklikler saldırganların daha dikkatli olduğunu ve tespitten kaçınmak için yeni yöntemlere başvurduğunu gösterdi.
Lazarus ayrıca macOS zararlı yazılımında da önemli düzenlemeler yaparak bir dizi sürüm daha çıkardı. İlk saldırıda özel bir macOS dosya indiricisi kurmak için açık kaynaklı QtBitcoinTrader adlı aracı kullanan Lazarus, ikinci AppleJeus saldırısında ise bunun için kendi kodunu kullanmaya başladı. Bu gelişmeler, bu saldırı grubunun zararlı yazılımın macOS sürümü için yeni düzenlemeler yapmaya devam edeceğini ve yapılan son tespitlerin ara sonuçları olduğunu gösteriyor.
Kaspersky Güvenlik Araştırmacısı Seongsu Park, “İkinci AppleJeus operasyonu, kripto para piyasalarındaki büyük durgunluğa rağmen Lazarus’un bu alana yatırım yapmaya devam ettiğini ve saldırıları daha karmaşık hale getirdiğini gösteriyor. Zararlı yazılımda yapılan değişiklikler, bu saldırıların artarak daha da ciddi bir tehdit haline gelmeyeceğine inanmak için ortada hiçbir neden olmadığının kanıtı” dedi.
Kuzey Kore ile ilişkili olan Lazarus grubu siber causluk ve siber sabotajın yanı sıra finansal gelir amaçlı karmaşık saldırılarıyla biliniyor.
