Kaspersky GReAT takımı, Güney Kore’deki kuruluşları maksat almak için üçüncü taraf yazılımlardaki güvenlik açıklarından yararlanma ile watering hole saldırısını birleştiren sofistike yeni bir Lazarus atak kampanyasını ortaya çıkardı. Araştırma sırasında şirket uzmanları, Güney Kore’de yaygın olarak kullanılan Innorix Agent yazılımında da sıfırıncı gün açığı keşfetti ve bu açık derhal yamalandı. GITEX Asia sırasında açıklanan bulgular, Lazarus’un Güney Kore’nin yazılım ekosistemine ait derin kavrayışından yararlanarak nasıl son derece sofistike, çok etaplı siber hücumlar gerçekleştirebildiğini vurguluyor.
Kaspersky GReAT (Global Araştırma ve Tahlil Ekibi) tarafından yayınlanan yeni bir rapora nazaran, saldırganlar Güney Kore’de yazılım, BT, finans, yarı iletken ve telekomünikasyon dallarında en az altı kuruluşu gaye aldı. Lakin gerçek kurban sayısı daha da yüksek olabilir. Kaspersky araştırmacıları bu kampanyaya “Operation SyncHole” ismini verdi.
En az 2009’dan beri etkin olan Lazarus Kümesi, geniş kaynaklara sahip ve berbat şöhretli bir tehdit aktörü olarak biliniyor. Yakın tarihli bir kampanyada, kümenin idari ve finansal sistemlerde inançlı belge transferleri için kullanılan ve üçüncü taraf tarayıcıya entegre bir araç olan Innorix Agent’taki bir günlük güvenlik açığından yararlandığı görüldü. Saldırganlar bu güvenlik açığından yararlanarak yanal hareketi kolaylaştırdı ve hedeflenen ana bilgisayara ek berbat emelli yazılım yüklenmesini sağladı. Bu da nihayetinde ThreatNeedle ve LPEClient üzere Lazarus imzalı berbat maksatlı yazılımların dağıtılmasına yol açarak iç ağlardaki pozisyonunu genişletti. Bu açık, Agamemnon indiricisi aracılığıyla sunulan daha büyük bir taarruz zincirinin kesimiydi ve bilhassa Innorix’in savunmasız bir sürümünü (9.2.18.496) maksat alıyordu.
Kaspersky’nin GReAT uzmanları, ziyanlı yazılımın davranışını tahlil ederken, rastgele bir tehdit aktörü ataklarında kullanmadan evvel bulmayı başardıkları öbür bir rastgele belge indirme sıfır gün açığı da keşfetti. Kaspersky, Innorix Agent’taki sıkıntıları Kore İnternet ve Güvenlik Ajansı’na (KrCERT) ve satıcıya bildirdi. Yazılım o vakitten beri yamalı sürümlerle güncellenirken, güvenlik açığına KVE-2025-0014 tanımlayıcısı atandı.
Kaspersky GReAT (Global Araştırma ve Tahlil Ekibi) Güvenlik Araştırmacısı Sojun Ryu, şunları söyledi: “Siber güvenliğe proaktif bir yaklaşım çok değerlidir. Derinlemesine ziyanlı yazılım analizimizin daha evvel bilinmeyen bir güvenlik açığını rastgele bir etkin istismar belirtisi ortaya çıkmadan evvel ortaya çıkarması bu zihniyet sayesinde oldu. Bu cins tehditlerin erken tespiti, sistemlerin daha geniş çapta tehlikeye girmesini önlemenin anahtarıdır.”
INNORIX ile ilgili bulgulardan evvel, Kaspersky uzmanları daha evvel Güney Kore’ye yönelik takip eden akınlarda ThreatNeedle ve SIGNBT art kapısının bir varyantının kullanıldığını keşfetmişti. Ziyanlı yazılım, legal bir SyncHost.exe sürecinin belleğinde çalışıyordu ve çeşitli tarayıcı ortamlarında güvenlik araçlarının kullanımını desteklemek için tasarlanmış legal bir Güney Kore yazılımı olan Cross EX’in bir alt süreci olarak oluşturulmuştu.
Kampanyanın ayrıntılı tahlili, tıpkı hücum vektörünün Güney Kore’deki beş kuruluşta daha dengeli bir biçimde tespit edildiğini doğruladı. Her bir hadisedeki bulaşma zincirinin Cross EX’teki potansiyel bir güvenlik açığından kaynaklandığı görüldü ki, bu da tüm operasyondaki bulaşmanın başlangıç noktası olduğunu düşündürüyor. Bilhassa KrCERT tarafından yayınlanan yakın tarihli bir güvenlik danışmanlığı, CrossEX’te güvenlik açığının varlığını doğruladı ve bu güvenlik açığı bu araştırmanın yapıldığı vakit diliminde yamalandı.
Kaspersky GReAT (Global Araştırma ve Tahlil Ekibi) Direktörü Igor Kuznetsov, şunları tabir etti: “Bu bulgular birlikte daha geniş bir güvenlik telaşını güçlendiriyor. Üçüncü taraf tarayıcı eklentileri ve yardımcı araçlar, bilhassa bölgeye mahsus yahut eski yazılımlara dayanan ortamlarda atak yüzeyini kıymetli ölçüde artırıyor. Bu bileşenler çoklukla yüksek ayrıcalıklarla çalışıyor, bellekte kalıyor ve tarayıcı süreçleriyle derinlemesine etkileşime giriyor. Bu da onları saldırganlar için hayli alımlı ve çoklukla çağdaş tarayıcıların kendisinden daha kolay amaçlar haline getiriyor.”
SyncHole Operasyonu akınları nasıl başlıyor?
Lazarus Kümesi, çoklukla çok sayıda kullanıcı tarafından ziyaret edilen güvenliği ihlal edilmiş çevrimiçi medya web sitelerini yem olarak kullanıyor. Bu teknik, watering hole akınları olarak da biliniyor. Tehdit aktörleri gelen trafiği filtreleyerek ilgilendikleri bireyleri tespit ediyor, bu amaçları seçerek saldırganların denetimindeki web sitelerine yönlendiriyor ve burada bir dizi teknik aksiyonla atak zincirini başlatıyor. Bu usul, kümenin operasyonlarının amaçlı ve stratejik tabiatını vurguluyor.
Saldırıda kullanılan yönlendirilmiş sayfaya bir örnek
Lazarus’un son kampanyası hakkında daha fazla bilgi edinmek için Securelist.com adresini ziyaret edin
Kaspersky eserleri, bu taarruzda kullanılan açıkları ve berbat emelli yazılımları aşağıdaki isimlerle tespit edebiliyor: Trojan.Win64.Lazarus.*, Trojan.Win32.Lazarus.*, MEM:Trojan.Win32.Cometer.gen, MEM:Trojan.Win32.SEPEH.gen, Trojan.Win32.Manuscrypt.*, Trojan.Win64.Manuscrypt.*, Trojan.Win32.Zenpak.*
Kaspersky, Lazarus ve başka Gelişmiş Kalıcı Tehdit (APT) hücumlarına karşı savunmak için hakikat tespit, bilinen tehditlere süratli cevap ve sağlam güvenlik araçları kullanımını öneriyor.
Ek tavsiyeler ortasında şunlar yer alıyor:
- Saldırganların güvenlik açıklarından yararlanarak ağınıza sızmasını önlemek için kullandığınız tüm aygıtlardaki yazılımları her vakit yeni tutun.
- Açıkları ve savunmasız sistemleri ortaya çıkarmak için ağlarınızda ve varlıklarınızda bir siber güvenlik kontrolü gerçekleştirin ve etrafta yahut ağ içinde keşfedilen zayıflıkları süratle düzeltin.
- Şirketi çok çeşitli tehditlere karşı korumak için, her büyüklükteki ve daldaki kuruluşlar için gerçek vakitli müdafaa, tehdit görünürlüğü, EDR ve XDR’nin araştırma ve karşılık yeteneklerini sağlayan Kaspersky Next ürün serisindeki tahlilleri kullanın
- InfoSec profesyonellerinize kurumunuzu gaye alan siber tehditler hakkında derinlemesine görünürlük sağlayın. Kaspersky Threat Intelligence, onlara tüm olay idaresi döngüsü boyunca güçlü ve manalı bir bağlam sağlar ve siber riskleri vaktinde tespit etmelerine yardımcı olur.
Kaynak: (BYZHA) Beyaz Haber Ajansı
