Lazarus’un DeathNote’u Mercek Altında
Kaspersky, kısa müddet evvel Lazarus siber hücum kümesine ilişkin kümelerden biri olan DeathNote’u müşahede altına aldı.
2019 yılında dünya genelinde kripto parayla ilgili şirketlere yönelik ataklarla işe başlayan DeathNote, yıllar içinde büyük bir dönüşüm geçirdi. 2022’nin sonunda küme, Avrupa, Latin Amerika, Güney Kore ve Afrika’daki BT ve savunma şirketlerini etkileyen gayeli akınların sorumlusu haline geldi.
Kaspersky’nin son raporu, DeathNote’un amaçlarındaki değişimin yanı sıra son dört yılda araçlarındaki, tekniklerindeki ve prosedürlerindeki gelişimi ve uygunlaştırmayı gözler önüne seriyor.
Kaspersky, DeathNote’u İnceliyor
Kaspersky, kısa mühlet evvel Lazarus siber taarruz kümesine ilişkin kümelerden biri olan DeathNote’u müşahede altına aldı.
Kötü şöhretliyle bilinen tehdit aktörü Lazarus, uzun müddettir ısrarla kripto para ile ilgili işletmeleri maksat alıyor. Kaspersky, bu tehdit aktörünün faaliyetlerini izlerken, bir olayda kıymetli ölçüde değiştirilmiş bir berbat emelli yazılımın kullanıldığını fark etti.
Kaspersky uzmanları, Ekim 2019’da VirusTotal’e yüklenen kuşkulu bir evrakla karşılaştı. Buna nazaran berbat hedefli yazılım hazırlayan kişi, kripto para ünitesiyle ilgili uydurma dokümanları devreye sokmuştu. Bunlar ortasında muhakkak bir kripto para ünitesinin satın alınmasıyla ilgili bir anket, belli bir kripto para ünitesine giriş için kılavuzlar ve Bitcoin madencilik şirketine giriş bilgileri yer alıyordu. DeathNote kampanyası birinci sefer Kıbrıs, Amerika Birleşik Devletleri, Tayvan ve Hong Kong’da kripto para ünitesiyle ilgilenen şahısları ve şirketleri gaye aldı.
Bununla birlikte Kaspersky, Nisan 2020’de DeathNote’un bulaşma vektörlerinde kıymetli bir değişim gözlemledi. Araştırmalar, DeathNote kümesinin Doğu Avrupa’da savunma sanayiiyle irtibatlı otomotiv şirketlerini ve akademik kuruluşları maksat aldığını gösteriyordu. Bu sırada tehdit aktörü, savunma sanayi müteahhitlerinden ve diplomatik ilişkilerden gelen iş tarifleriyle ilgili dokümanları sahteleriyle değiştirmekle meşguldü. Bunun yanı sıra her biri silah haline dönüştürülmüş dokümanlar, uzaktan şablon enjeksiyon tekniğiyle bulaşma zincirine dahil edilen ve Truva atı özelliği taşıyan açık kaynaklı PDF görüntüleyici yazılımıyla destekleniyor ve atak daha güçlü hale getiriliyordu. Kelam konusu bulaşma prosedürlerinin her ikisi de kurbanın bilgilerini sızdırmaktan sorumlu olan DeathNote downloader yazılımının yüklenmesiyle sonuçlanıyordu.
Mayıs 2021’de Kaspersky, Avrupa’daki ağ aygıtı ve sunucu izleme tahlilleri sunan bir BT şirketinin DeathNote kümesi tarafından ele geçirildiğini fark etti. Ayrıyeten Haziran 2021’in başlarında Lazarus alt kümesi Güney Kore’deki maksatlara bulaşmak için yeni bir sistem kullanmaya başladı. Burada araştırmacıların dikkatini çeken şey, makûs gayeli yazılımın birinci basamağının Güney Kore’de güvenlik için yaygın olarak kullanılan yasal bir yazılım tarafından yürütülmesiydi.
