Lazarus Grubu’nun Yeni Saldırı Yöntemi: CookiePlus
Demokratik Kore Cumhuriyeti (DPRK) ile bağlantılı ünlü bir tehdit aktörü olan Lazarus Grubu, 2024 yılının Ocak ayında nükleer alanla ilgili isimsiz bir kuruluşun en az iki çalışanını hedef alan karmaşık bir enfeksiyon zinciri kullandı. Bu saldırılar, “CookiePlus” olarak adlandırılan yeni bir modüler arka kapının devreye alınmasıyla sonuçlandı.
Söz konusu saldırılar, 2020 yılında ClearSky tarafından ortaya çıkarılan ve “Operation Dream Job” veya “NukeSped” olarak bilinen uzun soluklu bir siber casusluk kampanyasının bir parçası. Lazarus Grubu, bu operasyon kapsamında genellikle savunma, havacılık, kripto para ve diğer küresel sektörlerde çalışan geliştiriciler ve çalışanları, cazip iş teklifleri sunarak kandırıp sistemlerine zararlı yazılımlar yerleştiriyor.
Yeni Saldırı Zinciri: Trojanlaştırılmış VNC Araçları
Kaspersky tarafından yapılan kapsamlı bir analiz, Lazarus Grubu’nun “DeathNote” kampanyası dahilinde tedarik zinciri saldırıları gerçekleştirdiğini doğruladı. Bu saldırılar iki ana yöntemle gerçekleştiriliyor:
- Zararlı dökümanlar veya PDF görüntüleyiciler: Hedefe özel hazırlanmış iş ilanlarını görüntülemek için kullanılıyor.
- Trojanlaştırılmış uzaktan erişim araçları: VNC veya PuTTY gibi araçlarla hedefleri belirli bir sunucuya bağlanmaya ikna ederek sistemlerine zararlı yazılım bulaştırılıyor.
Son saldırılar, ikinci yöntemin kullanıldığı, tamamen yenilenmiş bir enfeksiyon zinciri içeriyor. Lazarus Grubu, önde gelen havacılık ve savunma şirketlerinde BT pozisyonları için beceri değerlendirmesi bahanesiyle trojanlaştırılmış bir VNC aracı (AmazonVNC.exe) dağıttı.
Ekim 2023’te yayınlanan APT eğilimleri raporunda, Lazarus Grubu’nun nükleer mühendisleri hedef almak için sahte VNC uygulamaları kullandığı belirtilmişti. Ocak 2024’te ise Lazarus, aynı organizasyondan iki çalışanı (Host A ve Host B) hedef aldı ve bir ay sonra daha yoğun saldırılar gerçekleştirdi.
CookiePlus ve Yeni Zararlı Yazılımlar
Saldırılar sırasında, Lazarus Grubu tarafından kullanılan zararlı yazılımlar arasında şunlar yer alıyor:
- MISTPEN: Google’ın sahibi olduğu Mandiant tarafından Eylül 2024’te keşfedilen bir arka kapı yazılımı.
- CookieTime: İlk kez 2020 yılında tespit edilen ve şifrelenmiş çerez değerlerini kullanarak komuta-kontrol (C2) sunucusundan talimatlar alan bir zararlı yazılım.
- ServiceChanger: Hedefteki bir hizmeti durdurup kötü amaçlı bir DLL dosyasını yandan yüklemek için kullanılan bir yazılım.
- Charamel Loader: Zararlı yazılımları şifreleyerek ve yükleyerek dağıtan bir yükleyici.
En dikkat çekici zararlı yazılım ise CookiePlus. Bu yazılım, ilk kez sahte bir Notepad++ eklentisi olan ComparePlus kılığına bürünmüş halde tespit edildi. CookiePlus, Base64 kodlu ve RSA ile şifrelenmiş yükleri C2 sunucusundan indiriyor, ardından bunları çözerek çeşitli kabuk kodlarını veya DLL’leri çalıştırıyor.
Lazarus’un Evrimleşen Tehdit Kapasitesi
Kaspersky’nin raporuna göre, Lazarus Grubu uzun zamandır Mata ve Gopuram Loader gibi sınırlı sayıda modüler zararlı yazılım çerçevesi kullanıyordu. Ancak CookiePlus gibi yeni modüler zararlı yazılımlar, grubun sürekli olarak tespit mekanizmalarını atlatmak için araçlarını geliştirdiğini gösteriyor.
Kuzey Kore’nin Artan Kripto Para Saldırıları
Lazarus Grubu’nun faaliyetleri, yalnızca casuslukla sınırlı değil. Blockchain analiz firması Chainalysis’e göre, Kuzey Kore bağlantılı tehdit aktörleri 2024 yılında 47 farklı kripto para hack’inden toplamda 1,34 milyar dolar çaldı. Bu, 2023’teki 660,5 milyon dolarlık zararın iki katından fazla.
Kuzey Kore’nin özellikle büyük çaplı siber saldırılarda daha hızlı ve etkili hale geldiği görülüyor. Mayıs 2024’te Japonya merkezli DMM Bitcoin borsasına düzenlenen saldırıda 305 milyon dolar kaybedildiği bildirildi.
Bu gelişmeler, Lazarus Grubu’nun hem geleneksel casusluk operasyonlarında hem de finansal çıkar sağlamaya yönelik saldırılarda daha karmaşık ve tehlikeli yöntemler geliştirdiğini gözler önüne seriyor.
Bu içeriği beğendiniz ya da yararlı bulduysanız paylaşmayı unutmayınız! Twitter ve Facebook Hesaplarımızdan Bizi Takip Edebilirsiniz.