Kaspersky GReAT (Global Araştırma ve Analiz Ekibi) tarafından yayınlanan yeni bir rapora göre, saldırganlar Güney Kore’de yazılım, BT, finans, yarı iletken ve telekomünikasyon sektörlerinde en az altı kuruluşu hedef aldı. Ancak gerçek kurban sayısı daha da yüksek olabilir. Kaspersky araştırmacıları bu kampanyaya “Operation SyncHole” adını verdi.
En az 2009’dan beri aktif olan Lazarus Grubu, geniş kaynaklara sahip ve kötü şöhretli bir tehdit aktörü olarak biliniyor. Yakın tarihli bir kampanyada, grubun idari ve finansal sistemlerde güvenli dosya aktarımları için kullanılan ve üçüncü taraf tarayıcıya entegre bir araç olan Innorix Agent’taki bir günlük güvenlik açığından yararlandığı görüldü. Saldırganlar bu güvenlik açığından yararlanarak yanal hareketi kolaylaştırdı ve hedeflenen ana bilgisayara ek kötü amaçlı yazılım yüklenmesini sağladı. Bu da nihayetinde ThreatNeedle ve LPEClient gibi Lazarus imzalı kötü amaçlı yazılımların dağıtılmasına yol açarak iç ağlardaki konumunu genişletti. Bu açık, Agamemnon indiricisi aracılığıyla sunulan daha büyük bir saldırı zincirinin parçasıydı ve özellikle Innorix’in savunmasız bir sürümünü (9.2.18.496) hedef alıyordu.
Kaspersky’nin GReAT uzmanları, zararlı yazılımın davranışını analiz ederken, herhangi bir tehdit aktörü saldırılarında kullanmadan önce bulmayı başardıkları başka bir rastgele dosya indirme sıfır gün açığı da keşfetti. Kaspersky, Innorix Agent’taki sorunları Kore İnternet ve Güvenlik Ajansı’na (KrCERT) ve satıcıya bildirdi. Yazılım o zamandan beri yamalı sürümlerle güncellenirken, güvenlik açığına KVE-2025-0014 tanımlayıcısı atandı.
Kaspersky GReAT (Global Araştırma ve Analiz Ekibi) Güvenlik Araştırmacısı Sojun Ryu, şunları söyledi:
“Siber güvenliğe proaktif bir yaklaşım çok önemlidir. Derinlemesine zararlı yazılım analizimizin daha önce bilinmeyen bir güvenlik açığını herhangi bir aktif istismar belirtisi ortaya çıkmadan önce ortaya çıkarması bu zihniyet sayesinde oldu. Bu tür tehditlerin erken tespiti, sistemlerin daha geniş çapta tehlikeye girmesini önlemenin anahtarıdır.”
Innorix ile ilgili bulgulardan önce, Kaspersky uzmanları daha önce Güney Kore’ye yönelik takip eden saldırılarda ThreatNeedle ve SIGNBT arka kapısının bir varyantının kullanıldığını keşfetmişti. Zararlı yazılım, meşru bir SyncHost.exe işleminin belleğinde çalışıyordu ve çeşitli tarayıcı ortamlarında güvenlik araçlarının kullanımını desteklemek için tasarlanmış meşru bir Güney Kore yazılımı olan Cross EX’in bir alt işlemi olarak oluşturulmuştu.
Kampanyanın detaylı analizi, aynı saldırı vektörünün Güney Kore’deki beş kuruluşta daha tutarlı bir şekilde tespit edildiğini doğruladı. Her bir vakadaki bulaşma zincirinin Cross EX’teki potansiyel bir güvenlik açığından kaynaklandığı görüldü ki, bu da tüm operasyondaki bulaşmanın başlangıç noktası olduğunu düşündürüyor. Özellikle KrCERT tarafından yayınlanan yakın tarihli bir güvenlik danışmanlığı, CrossEX’te güvenlik açığının varlığını doğruladı ve bu güvenlik açığı bu araştırmanın yapıldığı zaman diliminde yamalandı.
Kaspersky GReAT (Global Araştırma ve Analiz Ekibi) Direktörü Igor Kuznetsov, şunları ifade etti:
“Bu bulgular birlikte daha geniş bir güvenlik endişesini güçlendiriyor. Üçüncü taraf tarayıcı eklentileri ve yardımcı araçlar, özellikle bölgeye özgü veya eski yazılımlara dayanan ortamlarda saldırı yüzeyini önemli ölçüde artırıyor. Bu bileşenler genellikle yüksek ayrıcalıklarla çalışıyor, bellekte kalıyor ve tarayıcı süreçleriyle derinlemesine etkileşime giriyor. Bu da onları saldırganlar için oldukça çekici ve genellikle modern tarayıcıların kendisinden daha kolay hedefler haline getiriyor.”
SyncHole Operasyonu Saldırıları Nasıl Başlıyor?
Lazarus Grubu, genellikle çok sayıda kullanıcı tarafından ziyaret edilen güvenliği ihlal edilmiş çevrimiçi medya web sitelerini yem olarak kullanıyor. Bu teknik, watering hole saldırıları olarak da biliniyor. Tehdit aktörleri gelen trafiği filtreleyerek ilgilendikleri kişileri tespit ediyor, bu hedefleri seçerek saldırganların kontrolündeki web sitelerine yönlendiriyor ve burada bir dizi teknik eylemle saldırı zincirini başlatıyor. Bu yöntem, grubun operasyonlarının hedefli ve stratejik doğasını vurguluyor.
Kaspersky ürünleri, bu saldırıda kullanılan açıkları ve kötü amaçlı yazılımları aşağıdaki isimlerle tespit edebiliyor: Trojan.Win64.Lazarus.*, Trojan.Win32.Lazarus.*, MEM:Trojan.Win32.Cometer.gen, MEM:Trojan.Win32.SEPEH.gen, Trojan.Win32.Manuscrypt.*, Trojan.Win64.Manuscrypt.*, Trojan.Win32.Zenpak.*
Kaspersky, Lazarus ve diğer Gelişmiş Kalıcı Tehdit (APT) saldırılarına karşı savunmak için doğru tespit, bilinen tehditlere hızlı yanıt ve güvenilir güvenlik araçları kullanımını öneriyor.
Ek Tavsiyeler Arasında Şunlar Yer Alıyor:
- Saldırganların güvenlik açıklarından yararlanarak ağınıza sızmasını önlemek için kullandığınız tüm cihazlardaki yazılımları her zaman güncel tutun.
- Açıkları ve savunmasız sistemleri ortaya çıkarmak için ağlarınızda ve varlıklarınızda bir siber güvenlik denetimi gerçekleştirin ve çevrede veya ağ içinde keşfedilen zayıflıkları hızla düzeltin.
- Şirketi çok çeşitli tehditlere karşı korumak için, her büyüklükteki ve sektördeki kuruluşlar için gerçek zamanlı koruma, tehdit görünürlüğü, EDR ve XDR’nin araştırma ve yanıt yeteneklerini sağlayan Kaspersky Next ürün serisindeki çözümleri kullanın
- InfoSec profesyonellerinize kurumunuzu hedef alan siber tehditler hakkında derinlemesine görünürlük sağlayın.
Kaynak : 