Birbiri ardına tehditler: Kaspersky, Yasal Yazılımlardan Yararlanan Yeni Lazarus Kampanyasını Açıkladı!

Kaspersky Araştırma ve Analiz Ekibi (GReAT), kötü niyetli Lazarus kümesinin dünya çapındaki kuruluşları hedef alan yeni bir saldırısını ortaya çıkardı. Güvenlik Analisti Zirvesi’nde (SAS) sunulan araştırma, kötü amaçlı yazılım yoluyla dağıtılan ve yasal yazılım aracılığıyla yayılan karmaşık bir APT kampanyasının ayrıntılarını ortaya çıkardı.

GReAT ekibi, web iletişimlerini dijital sertifikalar aracılığıyla şifrelemek için tasarlanmış meşru yazılım aracılığıyla hedeflerine virüs bulaştıran bir siber güvenlik olayı tespit etti. Söz konusu güvenlik açıklarının bildirilmesine ve yamaların yayınlanmasına rağmen, dünya çapındaki kuruluşlar hala yazılımın kusurlu sürümünü kullanıyor ve Lazarus saldırı kümesi için bir giriş noktası sağlıyor.

Saldırganlar, kurbanı kontrol etmek için oldukça karmaşık bir yapıya sahip olan ve gelişmiş kontrolden kaçınma teknikleri kullanan “SIGNBT” adlı kötü amaçlı yazılımı konuşlandırdı. Ayrıca daha önce savunma sanayii yüklenicilerini, nükleer mühendisleri ve kripto para endüstrisini hedef aldığı bilinen LPEClient aracını da kullandılar. Bu kötü amaçlı yazılım, birincil bulaşma noktası görevi görüyor ve kurbanın profilinin çıkarılmasında ve yükün teslim edilmesinde önemli bir rol oynuyor. Kaspersky araştırmacılarının gözlemleri, LPEClient’in bu ve diğer saldırılardaki rolünün, 3CX tedarik zinciri saldırısında görüldüğü gibi Lazarus kümesi tarafından kullanılan taktiklerle tutarlı olduğunu gösteriyor.

Soruşturma derinleştikçe, Lazarus kötü amaçlı yazılımının daha önce birkaç kez ilk kurbanı olan bir yazılım satıcısını hedef aldığı ortaya çıktı. Bu tekrarlanan saldırı modeli, muhtemelen kritik kaynak kodunu çalmayı veya yazılım tedarik zincirini bozmayı amaçlayan kararlı ve odaklanmış bir çabayı gösterir. Tehdit aktörü sürekli olarak şirketin yazılımındaki güvenlik açıklarından yararlandı ve yazılımın yama yapılmamış sürümlerini kullanan diğer şirketleri hedef alarak kapsamını genişletti. Kaspersky’nin Uç Nokta Güvenliği çözümü, tehdidi proaktif bir şekilde tespit etti ve başka amaçlara yönelik başka saldırıları önledi.

Kaspersky Global Araştırma ve Analiz Ekibi Baş Güvenlik Araştırmacısı Seongsu Parkı, “Lazarus grubunun devam eden faaliyetleri, gelişmiş yeteneklerinin ve sarsılmaz motivasyonlarının bir kanıtıdır. Küresel ölçekte faaliyet gösteriyorlar ve çeşitli yöntemlerle çok çeşitli sektörleri hedefliyorlar. Bu, daha fazla dikkat gerektiren, devam eden ve gelişen bir tehdide işaret ediyor “söz konusu.

Kaspersky araştırmacıları, bilinen veya bilinmeyen bir tehdit aktörünün kasıtlı saldırısının kurbanı olmamak için aşağıdaki önlemlerin alınmasını öneriyor:

• Bilinen güvenlik açıklarını kapatmak için işletim sisteminizi, uygulamalarınızı ve antivirüs yazılımınızı düzenli olarak güncelleyin.
• Hassas bilgiler isteyen e-postalara, bildirimlere veya çağrılara karşı dikkatli olun. Rastgele kişisel bilgileri paylaşmadan veya şüpheli kişilere tıklamadan önce gönderenin kimliğini doğrulayın.
• SOC grubunuzun en son tehdit istihbaratına (TI) erişmesine izin verin. Kaspersky Tehdit İstihbaratı Portalı, şirketin tehdit istihbaratına erişim noktasıdır ve Kaspersky tarafından 20 yılı aşkın süredir toplanan siber saldırı bilgileri ve öngörülerini sağlar.
• GReAT uzmanları tarafından hazırlanan Kaspersky çevrimiçi eğitimiyle en son kötü amaçlı tehditlerle mücadele etmek için siber güvenlik ekibinizi geliştirin
• Olayların uç nokta düzeyinde tespiti, araştırılması ve zamanında iyileştirilmesi için Kaspersky Endpoint Detection and Response gibi EDR analizlerini kullanın.
•  

Kaynak: (BYZHA) Beyaz Haber Ajansı