Kaspersky’nin Küresel Araştırma ve Analiz Ekibi (GReAT), kötü şöhretli Lazarus grubuyla bağlantılı olan ve “DeathNote” olarak da bilinen Operation DreamJob ile ilişkili yeni bir kampanya keşfetti. İlk olarak 2019 yılında ortaya çıkan ve dünya genelindeki kripto para işletmelerini hedef alan bu kampanya, yıllar içinde önemli ölçüde evrildi. 2024 yılında, Avrupa, Latin Amerika, Güney Kore ve Afrika’daki IT ve savunma şirketlerini hedef alacak şekilde genişledi. Kaspersky’nin son raporu, bu operasyonun yeni bir aşamasına dair önemli bilgiler sunuyor. Rapora göre, kampanya Brezilya’daki nükleer bağlantılı bir kuruluşun çalışanlarını ve Vietnam’daki kimliği belirsiz bir sektörde çalışan bireyleri hedef alıyor.
Bir ay içerisinde Lazarus, aynı kuruluştan en az iki çalışanı hedef alarak, önde gelen havacılık ve savunma şirketlerindeki IT pozisyonları için yetenek değerlendirme testleri gibi görünen birden fazla arşiv dosyası gönderdi. İlk aşamada, Lazarus aynı kuruluştaki A ve B isimli iki çalışana bu arşiv dosyalarını ulaştırdı. Bir ay sonra ise ilk hedef üzerinde daha agresif saldırılar gerçekleştirmeye çalıştı. İlk talimatları iletmek ve hedeflere erişim sağlamak için muhtemelen LinkedIn gibi iş arama platformlarını kullandılar.
Lazarus, dağıtım yöntemlerini geliştirerek ve farklı türlerde kötü amaçlı yazılımları içeren karmaşık bir enfeksiyon zinciriyle kalıcılığını artırarak faaliyetlerini sürdürüyor. Bu yöntemler arasında bir indirici, yükleyici ve arka kapı yazılımı yer alıyor. Grup, trojanlaştırılmış VNC yazılımı, Windows için uzaktan masaüstü görüntüleyici ve başka bir yasal VNC aracı kullanarak çok aşamalı bir saldırı gerçekleştirdi. İlk aşamada, kötü amaçlı bir AmazonVNC.exe dosyası kullanılarak, VNC yürütülebilir dosyasının dahili kaynaklarını çıkarmak için Ranid Downloader adlı bir indirici şifresi çözüldü ve çalıştırıldı. İkinci bir arşiv, MISTPEN adlı kötü amaçlı yazılımı yükleyen kötü amaçlı bir vnclang.dll dosyasını içeriyordu. Bu yazılım, RollMid ve LPEClient’ın yeni bir varyantı da dahil olmak üzere ek yükleri indirdi.
Kurban Ana Bilgisayarında Oluşturulan Kötü Amaçlı Dosyaların Rotası
Ayrıca, GReAT uzmanlarının CookiePlus adını verdiği, daha önce görülmemiş bir eklenti tabanlı arka kapı yazılımı da kullandılar. Bu kötü amaçlı yazılım, açık kaynaklı bir Notepad++ eklentisi olan ComparePlus, olarak gizlenmişti. Sisteme yerleştikten sonra, bilgisayar adı, işlem kimliği ve dosya yolları gibi sistem verilerini topluyor ve ana modülünü belirli bir süre “uyku” modunda bırakıyordu. Ayrıca, bir yapılandırma dosyasını değiştirerek çalıştırma takvimini ayarlıyordu.
Kaspersky Global Araştırma ve Analiz Ekibi güvenlik uzmanı Sojun Ryu şunları söyledi:
”Operation DreamJob, kimlik hırsızlığı veya casusluk amacıyla kullanılabilecek hassas sistem bilgilerini topladığı için veri hırsızlığı gibi önemli riskler barındırıyor. Kötü amaçlı yazılımın eylemlerini geciktirebilme yeteneği, sisteme sızdığı anda tespit edilmesini engelleyerek sistemde daha uzun süre kalmasına olanak tanıyor. Belirli yürütme zamanlarını ayarlayarak, fark edilmeden çalışabileceği aralıklarda faaliyet gösterebiliyor. Ayrıca, sistem süreçlerini manipüle edebilmesi, tespit edilmesini zorlaştırıyor ve sistem üzerinde daha fazla zarar veya istismar potansiyeli yaratabiliyor.’”
Kaynak : 