Kaspersky’nin GReAT Ekibi, Lazarus’un Operation DreamJob Operasyonunu Açıkladı
Kaspersky’nin Küresel Araştırma ve Analiz Ekibi (GReAT), kötü şöhretli Lazarus grubunun “Operation DreamJob” adı altında yürüttüğü önemli bir operasyonun detaylarını kamuoyuna duyurdu. Bu operasyon, beş yılı aşkın bir süredir devam etmekte ve sürekli olarak yeni ve sofistike taktiklerle evrilmektedir. Son hedefler arasında nükleer alanla ilgili bir kuruluşun çalışanları yer alıyor.
Bu çalışanlar, IT profesyonelleri için tasarlanmış gibi görünen, ancak aslında kötü niyetli olan üç farklı arşiv dosyası aracılığıyla enfekte edilmiştir. Süregelen bu kampanya, yeni keşfedilen ve açık kaynaklı bir eklenti gibi gizlenen CookiePlus adlı modüler bir arka kapı yazılımı da dahil olmak üzere, gelişmiş kötü amaçlı yazılımlar kullanmaktadır.
Kaspersky’nin GReAT ekibi, Lazarus grubuyla ilişkilendirilen ve “DeathNote” olarak da bilinen Operation DreamJob ile bağlantılı yeni bir kampanya keşfetti. İlk olarak 2019 yılında ortaya çıkan bu kampanya, başlangıçta dünya genelindeki kripto para işletmelerini hedef alırken, zamanla önemli bir evrim geçirmiştir. 2024 yılı itibarıyla, Avrupa, Latin Amerika, Güney Kore ve Afrika’daki IT ile savunma şirketlerini hedef alacak şekilde genişlemiştir.
Kaspersky’nin son raporu, bu operasyonun yeni bir aşamasına dair önemli bilgiler sunmaktadır. Rapor, kampanyanın Brezilya’daki nükleer bağlantılı bir kuruluşun çalışanlarını ve Vietnam’daki kimliği belirsiz bir sektörde çalışan bireyleri hedef aldığını ortaya koymaktadır.
Özellikle, Lazarus, aynı kuruluştan en az iki çalışanı hedef alarak, önde gelen havacılık ve savunma şirketlerindeki IT pozisyonları için yetenek değerlendirme testleri gibi görünen birden fazla arşiv dosyası göndermiştir. İlk aşamada, A ve B isimli çalışanlara bu arşiv dosyalarını ulaştırdıktan bir ay sonra, ilk hedef üzerinde daha agresif saldırılar gerçekleştirmeyi denemiştir. İlk talimatları iletmek ve hedeflere erişim sağlamak için LinkedIn gibi iş arama platformlarını kullanmışlardır.
Lazarus, dağıtım yöntemlerini geliştirerek ve farklı türlerde kötü amaçlı yazılımları içeren karmaşık bir enfeksiyon zinciri oluşturarak kalıcılığını artırmaya devam etmektedir. Bu yöntemler arasında bir indirici, yükleyici ve arka kapı yazılımı yer almaktadır. Grup, trojanlaştırılmış VNC yazılımı ve Windows için uzaktan masaüstü görüntüleyici gibi araçları kullanarak çok aşamalı bir saldırı gerçekleştirmiştir.
- İlk aşamada, kötü amaçlı bir AmazonVNC.exe dosyası ile VNC yürütülebilir dosyasının dahili kaynaklarını çıkarmak için Ranid Downloader adlı bir indirici şifresi çözüldü ve çalıştırıldı.
- İkinci bir arşiv, MISTPEN adlı kötü amaçlı yazılımı yükleyen kötü amaçlı bir vnclang.dll dosyasını içeriyordu. Bu yazılım, RollMid ve LPEClient’ın yeni bir varyantı da dahil olmak üzere ek yükleri indirdi.
Kötü Amaçlı Yazılımların Rotası
Ayrıca, GReAT uzmanları tarafından CookiePlus adını verilen daha önce görülmemiş bir eklenti tabanlı arka kapı yazılımı da kullanılmıştır. Bu kötü amaçlı yazılım, açık kaynaklı bir Notepad++ eklentisi olan ComparePlus olarak gizlenmiştir. Sisteme yerleştikten sonra, bilgisayar adı, işlem kimliği ve dosya yolları gibi sistem verilerini toplamakta ve ana modülünü belirli bir süre “uyku” moduna alarak gizlenmektedir. Bunun yanı sıra, bir yapılandırma dosyasını değiştirerek çalıştırma takvimini de ayarlamaktadır.
Kaspersky Global Araştırma ve Analiz Ekibi güvenlik uzmanı Sojun Ryu, bu durumu şu şekilde değerlendirmiştir: “Operation DreamJob, kimlik hırsızlığı veya casusluk amacıyla kullanılabilecek hassas sistem bilgilerini topladığı için veri hırsızlığı gibi önemli riskler barındırıyor. Kötü amaçlı yazılımın eylemlerini geciktirebilme yeteneği, sisteme sızdığı anda tespit edilmesini engelleyerek sistemde daha uzun süre kalmasına olanak tanıyor. Belirli yürütme zamanlarını ayarlayarak, fark edilmeden çalışabileceği aralıklarda faaliyet gösterebiliyor. Ayrıca, sistem süreçlerini manipüle edebilmesi, tespit edilmesini zorlaştırıyor ve sistem üzerinde daha fazla zarar veya istismar potansiyeli yaratabiliyor.”
Kaynak: (BYZHA) Beyaz Haber Ajansı