Siber güvenlik alanında dünya lideri olan ESET, Kuzey Kore ile temaslı Lazarus kümesi çatısı altında takip ettiği Operation DreamJob kampanyasının yeni bir örneğini gözlemledi. Kampanyada, savunma endüstrisinde faaliyet gösteren birkaç Avrupa şirketi maksat alındı. Bu şirketlerin kimileri insansız hava aracı (İHA/Drone) dalında ağır olarak faaliyet gösterdiğinden operasyonun Kuzey Kore’nin drone programını genişletme eforlarıyla kontaklı olabileceği; saldırganların esas amacının, özel bilgiler ve üretim know-how’ının çalınması olduğu düşünülüyor.
ESET araştırmacılarının bulgularına nazaran gerçek hayatta gerçekleşen hücumlar, Orta ve Güneydoğu Avrupa’da savunma bölümünde faaliyet gösteren üç şirketi art geriye maksat aldı. Birinci erişim neredeyse kesin olarak toplumsal mühendislik yoluyla sağlandı. Gayelere yerleştirilen ana yük, saldırganlara ele geçirilen makine üzerinde tam denetim sağlayan bir uzaktan erişim truva atı (RAT) olan ScoringMathTea idi. Saldırganların en önemli maksadının, özel bilgiler ve üretim know-how’ının dışarıya sızdırılması olduğu düşünülüyor.
Operation DreamJob’da, toplumsal mühendisliğin ana teması, kârlı fakat düzmece bir iş teklifi ve buna eşlik eden bir makus emelli yazılım. Kurban, çoklukla iş tarifi içeren bir yem evrak ve bunu açmak için trojanize edilmiş bir PDF okuyucu alır. ESET Research, bu faaliyeti Operasyon DreamJob ile ilgili kampanyaları ve Avrupa’da bulunan amaç bölümlerin evvelki Operasyon DreamJob örneklerindeki gayelerle (havacılık, savunma, mühendislik) uyumlu olması nedeniyle Lazarus’a atfediyor.
Hedef alınan üç kuruluş, farklı cinste askeri teçhizat (veya bunların parçaları) üretiyor ve bunların birden fazla, Avrupa ülkelerinin askeri yardımı sonucunda şu anda Ukrayna’da kullanılıyor. Operation DreamJob’un gözlemlenen faaliyetleri sırasında, Kuzey Koreli askerler Moskova’nın Kursk bölgesinde Ukrayna’nın saldırısını püskürtmesine yardım etmek için Rusya’ya konuşlandırılmıştı. Bu nedenle, Operation DreamJob’un şu anda Rusya-Ukrayna savaşında kullanılan birtakım batı üretimi silah sistemleri hakkında hassas bilgiler toplamakla ilgilendiği mümkündür. Daha genel olarak, bu kuruluşlar Kuzey Kore’nin de yurt içinde ürettiği ve kendi tasarım ve süreçlerini mükemmelleştirmeyi umduğu cinsten gereçlerin üretiminde yer almaktadır. İHA ile ilgili bilgi birikimine olan ilgi dikkat cazip, çünkü bu, Pyongyang’ın yerli drone üretim kapasitelerine büyük yatırım yaptığına işaret eden son medya haberlerini yansıtıyor. Kuzey Kore, yerli İHA kapasitelerini geliştirmek için büyük ölçüde bilakis mühendislik ve fikri mülkiyet hırsızlığına güvenmiştir.
Son Lazarus ataklarını keşfeden ve tahlil eden ESET araştırmacısı Peter Kálnai ve Alexis Rapin şu açıklamayı yaptılar: “Operasyon DreamJob’un, en azından kısmen, İHA’larla ilgili özel bilgileri ve üretim know-how’ını çalmak maksadıyla gerçekleştirildiğini düşünüyoruz. Dropper’lardan birinde gözlemlenen drone sözü, bu hipotezi kıymetli ölçüde desteklemektedir. Amaç alınan kuruluşlardan birinin, şu anda Ukrayna’da kullanılan ve Kuzey Kore’nin cephe sınırında karşılaşmış olabileceği en az iki İHA modelinin üretiminde yer aldığına dair deliller bulduk. Bu kuruluş, Pyongyang’ın etkin olarak geliştirmekte olduğu bir uçak çeşidi olan gelişmiş tek motorlu insansız hava araçlarının tedarik zincirinde de yer almaktadır.“
Genel olarak, Lazarus saldırganları epeyce faaldir ve art kapılarını birden fazla gayeye karşı kullanırlar. Bu sık kullanım, bu araçları ortaya çıkarır ve tespit edilmesini sağlar. Buna karşı tedbir olarak, kümenin araçlarının yürütme zincirinde bir dizi dropper, yükleyici ve kolay indirici yer alır. Saldırganlar, makûs gayeli yükleme rutinlerini GitHub’da bulunan açık kaynaklı projelere dâhil etmeye karar verdiler.
Ana yük olan ScoringMathTea, yaklaşık 40 komutu destekleyen karmaşık bir RAT’tır. Birinci ortaya çıkışı, Ekim 2022’de Portekiz ve Almanya’dan VirusTotal’a gönderilen müracaatlarla izlenebilir; burada dropper, Airbus temalı bir iş teklifi üzere görünerek kurbanları tuzağa düşürmüştür. Uygulanan fonksiyonellik, Lazarus’un çoklukla gerektirdiği işlevselliklerle birebirdir: Belge ve süreçlerin manipülasyonu, yapılandırmanın değiştirilmesi, kurbanın sistem bilgilerinin toplanması, TCP ilişkisinin açılması ve mahallî komutların yahut C&C sunucusundan indirilen yeni yüklerin yürütülmesi. ESET telemetrisine nazaran, ScoringMathTea, Ocak 2023’te bir Hint teknoloji şirketine, Mart 2023’te bir Polonya savunma şirketine, Ekim 2023’te bir İngiliz endüstriyel otomasyon şirketine ve Eylül 2025’te bir İtalyan havacılık şirketine yönelik hücumlarda görülmüştür. Operation DreamJob kampanyalarının amiral gemisi yüklerinden biri olduğu görülmektedir.
Grubun en değerli gelişimi, DLL proxy’leri için tasarlanmış yeni kütüphanelerin tanıtılması ve daha uygun kaçınma için trojanize edilecek yeni açık kaynaklı projelerin seçilmesidir. Kálnai, “Yaklaşık üç yıldır Lazarus, tercih ettiği ana yükü olan ScoringMathTea’yi kullanarak ve açık kaynaklı uygulamaları trojanize etmek için benzeri teknikler uygulayarak dengeli bir çalışma usulünü sürdürmüştür. Bu öngörülebilir lakin tesirli strateji, kümenin kimliğini gizlemek ve atıf sürecini belirsizleştirmek için yetersiz olsa da güvenlik tespitinden kaçmak için kâfi polimorfizm sağlar” diye aktardı.
HIDDEN COBRA olarak da bilinen Lazarus kümesi en az 2009 yılından beri faal olan ve Kuzey Kore ile kontaklı bir APT kümesidir. Yüksek profilli olaylardan sorumludur. Lazarus kampanyalarının çeşitliliği, sayısı ve uygulamadaki tuhaflığı bu kümesi tanımlamaktadır. Ayrıyeten siber kabahat faaliyetlerinin üç temel ögesini da yerine getirmektedir: Siber casusluk, siber sabotaj ve mali kar peşinde koşma.
Operasyon DreamJob, temel olarak toplumsal mühendisliğe dayanan Lazarus kampanyalarının kod ismidir ve bilhassa itibarlı yahut yüksek profilli durumlar için geçersiz iş teklifleri kullanır (“hayalindeki iş” tuzağı). Maksatlar yüklü olarak havacılık ve savunma dallarındadır, akabinde mühendislik ve teknoloji şirketleri ile medya ve cümbüş bölümü gelir.
Kaynak: (BYZHA) Beyaz Haber Ajansı
News
Genel
Genel
Genel
Genel
Genel
Genel
