Kaspersky GReAT grubu, Güney Kore’deki kuruluşları amaç almak için üçüncü taraf yazılımlardaki güvenlik açıklarından yararlanma ile watering hole saldırısını birleştiren sofistike yeni bir Lazarus atak kampanyasını ortaya çıkardı. Araştırma sırasında şirket uzmanları, Güney Kore’de yaygın olarak kullanılan Innorix Agent yazılımında da sıfırıncı gün açığı keşfetti ve bu açık derhal yamalandı. GITEX Asia sırasında açıklanan bulgular, Lazarus’un Güney Kore’nin yazılım ekosistemine ait derin kavrayışından yararlanarak nasıl son derece sofistike, çok basamaklı siber taarruzlar gerçekleştirebildiğini vurguluyor.
Kaspersky GReAT (Global Araştırma ve Tahlil Ekibi) tarafından yayınlanan yeni bir rapora nazaran, saldırganlar Güney Kore’de yazılım, BT, finans, yarı iletken ve telekomünikasyon bölümlerinde en az altı kuruluşu gaye aldı. Fakat gerçek kurban sayısı daha da yüksek olabilir. Kaspersky araştırmacıları bu kampanyaya “Operation SyncHole” ismini verdi.
En az 2009’dan beri etkin olan Lazarus Kümesi, geniş kaynaklara sahip ve makus şöhretli bir tehdit aktörü olarak biliniyor. Yakın tarihli bir kampanyada, kümenin idari ve finansal sistemlerde inançlı belge transferleri için kullanılan ve üçüncü taraf tarayıcıya entegre bir araç olan Innorix Agent’taki bir günlük güvenlik açığından yararlandığı görüldü. Saldırganlar bu güvenlik açığından yararlanarak yanal hareketi kolaylaştırdı ve hedeflenen ana bilgisayara ek berbat gayeli yazılım yüklenmesini sağladı. Bu da nihayetinde ThreatNeedle ve LPEClient üzere Lazarus imzalı makûs emelli yazılımların dağıtılmasına yol açarak iç ağlardaki pozisyonunu genişletti. Bu açık, Agamemnon indiricisi aracılığıyla sunulan daha büyük bir taarruz zincirinin kesimiydi ve bilhassa Innorix’in savunmasız bir sürümünü (9.2.18.496) gaye alıyordu.
Kaspersky’nin GReAT uzmanları, ziyanlı yazılımın davranışını tahlil ederken, rastgele bir tehdit aktörü ataklarında kullanmadan evvel bulmayı başardıkları diğer bir rastgele belge indirme sıfır gün açığı da keşfetti. Kaspersky, Innorix Agent’taki problemleri Kore İnternet ve Güvenlik Ajansı’na (KrCERT) ve satıcıya bildirdi. Yazılım o vakitten beri yamalı sürümlerle güncellenirken, güvenlik açığına KVE-2025-0014 tanımlayıcısı atandı.
Kaspersky GReAT (Global Araştırma ve Tahlil Ekibi) Güvenlik Araştırmacısı Sojun Ryu, şunları söyledi: “Siber güvenliğe proaktif bir yaklaşım çok değerlidir. Derinlemesine ziyanlı yazılım analizimizin daha evvel bilinmeyen bir güvenlik açığını rastgele bir etkin istismar belirtisi ortaya çıkmadan evvel ortaya çıkarması bu zihniyet sayesinde oldu. Bu çeşit tehditlerin erken tespiti, sistemlerin daha geniş çapta tehlikeye girmesini önlemenin anahtarıdır.”
INNORIX ile ilgili bulgulardan evvel, Kaspersky uzmanları daha evvel Güney Kore’ye yönelik takip eden hücumlarda ThreatNeedle ve SIGNBT art kapısının bir varyantının kullanıldığını keşfetmişti. Ziyanlı yazılım, legal bir SyncHost.exe sürecinin belleğinde çalışıyordu ve çeşitli tarayıcı ortamlarında güvenlik araçlarının kullanımını desteklemek için tasarlanmış legal bir Güney Kore yazılımı olan Cross EX’in bir alt süreci olarak oluşturulmuştu.
Kampanyanın ayrıntılı tahlili, tıpkı akın vektörünün Güney Kore’deki beş kuruluşta daha dengeli bir halde tespit edildiğini doğruladı. Her bir olaydaki bulaşma zincirinin Cross EX’teki potansiyel bir güvenlik açığından kaynaklandığı görüldü ki, bu da tüm operasyondaki bulaşmanın başlangıç noktası olduğunu düşündürüyor. Bilhassa KrCERT tarafından yayınlanan yakın tarihli bir güvenlik danışmanlığı, CrossEX’te güvenlik açığının varlığını doğruladı ve bu güvenlik açığı bu araştırmanın yapıldığı vakit diliminde yamalandı.
Kaspersky GReAT (Global Araştırma ve Tahlil Ekibi) Direktörü Igor Kuznetsov, şunları tabir etti: “Bu bulgular birlikte daha geniş bir güvenlik kaygısını güçlendiriyor. Üçüncü taraf tarayıcı eklentileri ve yardımcı araçlar, bilhassa bölgeye has yahut eski yazılımlara dayanan ortamlarda akın yüzeyini kıymetli ölçüde artırıyor. Bu bileşenler ekseriyetle yüksek ayrıcalıklarla çalışıyor, bellekte kalıyor ve tarayıcı süreçleriyle derinlemesine etkileşime giriyor. Bu da onları saldırganlar için epeyce cazip ve çoklukla çağdaş tarayıcıların kendisinden daha kolay maksatlar haline getiriyor.”
SyncHole Operasyonu hücumları nasıl başlıyor?
Lazarus Kümesi, ekseriyetle çok sayıda kullanıcı tarafından ziyaret edilen güvenliği ihlal edilmiş çevrimiçi medya web sitelerini yem olarak kullanıyor. Bu teknik, watering hole hücumları olarak da biliniyor. Tehdit aktörleri gelen trafiği filtreleyerek ilgilendikleri şahısları tespit ediyor, bu maksatları seçerek saldırganların denetimindeki web sitelerine yönlendiriyor ve burada bir dizi teknik aksiyonla atak zincirini başlatıyor. Bu formül, kümenin operasyonlarının gayeli ve stratejik tabiatını vurguluyor.
Saldırıda kullanılan yönlendirilmiş sayfaya bir örnek
Lazarus’un son kampanyası hakkında daha fazla bilgi edinmek için Securelist.com adresini ziyaret edin
Kaspersky eserleri, bu akında kullanılan açıkları ve makus emelli yazılımları aşağıdaki isimlerle tespit edebiliyor: Trojan.Win64.Lazarus.*, Trojan.Win32.Lazarus.*, MEM:Trojan.Win32.Cometer.gen, MEM:Trojan.Win32.SEPEH.gen, Trojan.Win32.Manuscrypt.*, Trojan.Win64.Manuscrypt.*, Trojan.Win32.Zenpak.*
Kaspersky, Lazarus ve öteki Gelişmiş Kalıcı Tehdit (APT) akınlarına karşı savunmak için hakikat tespit, bilinen tehditlere süratli cevap ve emniyetli güvenlik araçları kullanımını öneriyor.
Ek tavsiyeler ortasında şunlar yer alıyor:
- Saldırganların güvenlik açıklarından yararlanarak ağınıza sızmasını önlemek için kullandığınız tüm aygıtlardaki yazılımları her vakit yeni tutun.
- Açıkları ve savunmasız sistemleri ortaya çıkarmak için ağlarınızda ve varlıklarınızda bir siber güvenlik kontrolü gerçekleştirin ve etrafta yahut ağ içinde keşfedilen zayıflıkları süratle düzeltin.
- Şirketi çok çeşitli tehditlere karşı korumak için, her büyüklükteki ve kesimdeki kuruluşlar için gerçek vakitli müdafaa, tehdit görünürlüğü, EDR ve XDR’nin araştırma ve cevap yeteneklerini sağlayan Kaspersky Next ürün serisindeki tahlilleri kullanın
- InfoSec profesyonellerinize kurumunuzu gaye alan siber tehditler hakkında derinlemesine görünürlük sağlayın. Kaspersky Threat Intelligence, onlara tüm olay idaresi döngüsü boyunca varlıklı ve manalı bir bağlam sağlar ve siber riskleri vaktinde tespit etmelerine yardımcı olur.
Kaynak: (BYZHA) Beyaz Haber Ajansı