Siber güvenlik alanında küresel bir aktör olan Eset, Kuzey Kore ile bağlantılı Lazarus grubu çatısı altında takip ettiği Operation DreamJob kampanyasının yeni bir örneğini gözlemledi. Kampanyada, savunma sanayisinde faaliyet gösteren birkaç Avrupa şirketi hedef alındı. Bu şirketlerin bazıları insansız hava aracı (İHA/Drone) sektöründe yoğun olarak faaliyet gösterdiğinden operasyonun Kuzey Kore’nin drone programını genişletme çabalarıyla bağlantılı olabileceği; saldırganların başlıca hedefinin, özel bilgiler ve üretim know-how’ının çalınması olduğu düşünülüyor.
Eset araştırmacılarının bulgularına göre gerçek hayatta gerçekleşen saldırılar, Orta ve Güneydoğu Avrupa’da savunma sektöründe faaliyet gösteren üç şirketi arka arkaya hedef aldı. İlk erişim neredeyse kesin olarak sosyal mühendislik yoluyla sağlandı. Hedeflere yerleştirilen ana yük, saldırganlara ele geçirilen makine üzerinde tam kontrol sağlayan bir uzaktan erişim truva atı (RAT) olan ScoringMathTea idi. Saldırganların başlıca hedefinin, özel bilgiler ve üretim know-how’ının dışarıya sızdırılması olduğu düşünülüyor.
Operation DreamJob’da, sosyal mühendisliğin ana teması, kârlı ama sahte bir iş teklifi ve buna eşlik eden bir kötü amaçlı yazılım. Kurban, genellikle iş tanımı içeren bir yem belge ve bunu açmak için trojanize edilmiş bir PDF okuyucu alır. Eset Research, bu faaliyeti Operasyon DreamJob ile ilgili kampanyaları ve Avrupa’da bulunan hedef sektörlerin önceki Operasyon DreamJob örneklerindeki hedeflerle (havacılık, savunma, mühendislik) uyumlu olması nedeniyle Lazarus’a atfediyor.
Hedef alınan üç kuruluş, farklı türde askeri teçhizat (veya bunların parçaları) üretiyor ve bunların çoğu, Avrupa ülkelerinin askeri yardımı sonucunda şu anda Ukrayna’da kullanılıyor. Operation DreamJob’un gözlemlenen faaliyetleri sırasında, Kuzey Koreli askerler Moskova’nın Kursk bölgesinde Ukrayna’nın saldırısını püskürtmesine yardım etmek için Rusya’ya konuşlandırılmıştı. Bu nedenle, Operation DreamJob’un şu anda Rusya-Ukrayna savaşında kullanılan bazı batı yapımı silah sistemleri hakkında hassas bilgiler toplamakla ilgilendiği mümkündür. Daha genel olarak, bu kuruluşlar Kuzey Kore’nin de yurt içinde ürettiği ve kendi tasarım ve süreçlerini mükemmelleştirmeyi umduğu türden malzemelerin üretiminde yer almaktadır. İHA ile ilgili bilgi birikimine olan ilgi dikkat çekici, zira bu, Pyongyang’ın yerli drone üretim kapasitelerine büyük yatırım yaptığına işaret eden son medya haberlerini yansıtıyor. Kuzey Kore, yerli İHA kapasitelerini geliştirmek için büyük ölçüde tersine mühendislik ve fikri mülkiyet hırsızlığına güvenmiştir.
Son Lazarus saldırılarını keşfeden ve analiz eden Eset araştırmacısı Peter Kálnai ve Alexis Rapin şu açıklamayı yaptılar:
“Operasyon DreamJob’un, en azından kısmen, İHA’larla ilgili özel bilgileri ve üretim know-how’ını çalmak amacıyla gerçekleştirildiğini düşünüyoruz. Dropper’lardan birinde gözlemlenen drone ifadesi, bu hipotezi önemli ölçüde desteklemektedir. Hedef alınan kuruluşlardan birinin, şu anda Ukrayna’da kullanılan ve Kuzey Kore’nin cephe hattında karşılaşmış olabileceği en az iki İHA modelinin üretiminde yer aldığına dair kanıtlar bulduk. Bu kuruluş, Pyongyang’ın aktif olarak geliştirmekte olduğu bir uçak türü olan gelişmiş tek motorlu insansız hava araçlarının tedarik zincirinde de yer almaktadır.“
Genel olarak, Lazarus saldırganları oldukça aktiftir ve arka kapılarını birden fazla hedefe karşı kullanırlar. Bu sık kullanım, bu araçları ortaya çıkarır ve tespit edilmesini sağlar. Buna karşı önlem olarak, grubun araçlarının yürütme zincirinde bir dizi dropper, yükleyici ve basit indirici yer alır. Saldırganlar, kötü amaçlı yükleme rutinlerini GitHub’da bulunan açık kaynaklı projelere dâhil etmeye karar verdiler.
Ana yük olan ScoringMathTea, yaklaşık 40 komutu destekleyen karmaşık bir RAT’tır. İlk ortaya çıkışı, Ekim 2022’de Portekiz ve Almanya’dan VirusTotal’a gönderilen başvurularla izlenebilir; burada dropper, Airbus temalı bir iş teklifi gibi görünerek kurbanları tuzağa düşürmüştür. Uygulanan işlevsellik, Lazarus’un genellikle gerektirdiği işlevselliklerle aynıdır: Dosya ve işlemlerin manipülasyonu, yapılandırmanın değiştirilmesi, kurbanın sistem bilgilerinin toplanması, TCP bağlantısının açılması ve yerel komutların veya C&C sunucusundan indirilen yeni yüklerin yürütülmesi. ESET telemetrisine göre, ScoringMathTea, Ocak 2023’te bir Hint teknoloji şirketine, Mart 2023’te bir Polonya savunma şirketine, Ekim 2023’te bir İngiliz endüstriyel otomasyon şirketine ve Eylül 2025’te bir İtalyan havacılık şirketine yönelik saldırılarda görülmüştür. Operation DreamJob kampanyalarının amiral gemisi yüklerinden biri olduğu görülmektedir.
Grubun en önemli gelişimi, DLL proxy’leri için tasarlanmış yeni kütüphanelerin tanıtılması ve daha iyi kaçınma için trojanize edilecek yeni açık kaynaklı projelerin seçilmesidir. Kálnai şunları aktardı:
“Yaklaşık üç yıldır Lazarus, tercih ettiği ana yükü olan ScoringMathTea’yi kullanarak ve açık kaynaklı uygulamaları trojanize etmek için benzer yöntemler uygulayarak tutarlı bir çalışma tarzını sürdürmüştür. Bu öngörülebilir ancak etkili strateji, grubun kimliğini gizlemek ve atıf sürecini belirsizleştirmek için yetersiz olsa da güvenlik tespitinden kaçmak için yeterli polimorfizm sağlar”
Hıdden Cobra olarak da bilinen Lazarus grubu en az 2009 yılından beri aktif olan ve Kuzey Kore ile bağlantılı bir APT grubudur. Yüksek profilli olaylardan sorumludur. Lazarus kampanyalarının çeşitliliği, sayısı ve uygulamadaki tuhaflığı bu grubu tanımlamaktadır. Ayrıca siber suç faaliyetlerinin üç temel unsurunu da yerine getirmektedir: Siber casusluk, siber sabotaj ve mali kazanç peşinde koşma.
Operasyon DreamJob, esas olarak sosyal mühendisliğe dayanan Lazarus kampanyalarının kod adıdır ve özellikle prestijli veya yüksek profilli pozisyonlar için sahte iş teklifleri kullanır (“hayalindeki iş” tuzağı). Hedefler ağırlıklı olarak havacılık ve savunma sektörlerindedir, ardından mühendislik ve teknoloji şirketleri ile medya ve eğlence sektörü gelir.
Kaynak : 