Kaspersky, Güney Kore'nin tedarik zincirlerini hedef alan Lazarus krallığındaki yeni siber saldırılarını ortaya çıkardı
Kaspersky, Güney Kore'nin tedarik zincirlerini hedef alan Lazarus krallığındaki yeni siber saldırılarını ortaya çıkardı
Kaspersky GReAT ekibi, Güney Kore'deki stratejilerini hedef almak için üçüncü taraf yazılımlardaki güvenlik açıklarından yararlanma ile sulama deliği saldırısını birleştiren karakteristik yeni bir Lazarus saldırı kampanyasını ortaya çıkardı. Araştırma sırasında şirket ayrılır, Güney Kore'de yaygın olarak kullanılan Innorix Agent yazılımında da sıfırıncı gün keşfedilir ve bu açık şekilde yamalanır. GITEX Asia sırasında yapılan araştırmalar, Lazarus'un Güney Kore'nin yazılım ekosistemine ilişkin derin kavrayışından yararlanarak son derece belirgin olduğunu, çok sayıda siber saldırı gerçekleştirebildiğini vurguluyor.
Kaspersky GReAT ekibi, Güney Kore'deki stratejilerini hedef almak için üçüncü taraf yazılımlardaki güvenlik açıklarından yararlanma ile sulama deliği saldırısını birleştiren karakteristik yeni bir Lazarus saldırı kampanyasını ortaya çıkardı. Araştırma sırasında şirket ayrılır, Güney Kore'de yaygın olarak kullanılan Innorix Agent yazılımında da sıfırıncı gün keşfedilir ve bu açık şekilde yamalanır. GITEX Asia sırasında yapılan araştırmalar, Lazarus'un Güney Kore'nin yazılım ekosistemine ilişkin derin kavrayışından yararlanarak son derece belirgin olduğunu, çok sayıda siber saldırı gerçekleştirebildiğini vurguluyor.
Kaspersky GReAT (Global Araştırma ve Analiz Ekibi) tarafından yayınlanan yeni bir rapora göre, Saldırganlar Güney Kore'de yazılım, BT, finans, yarı iletken ve telekomünikasyon sektörlerinde en az altı merkezi hedef alındı. Ancak gerçek kurban sayıları daha da yüksek olabilir. Kaspersky araştırmacıları bu kampanyaya "Operation SyncHole" adını verdi.
2009'dan beri aktif olan Lazarus Grubu, geniş kaynaklara sahip ve kötü kopyalı bir tehdit aktörü olarak biliniyor. Yakın tarihli bir kampanyada, grup idari ve finansal sistemlerde güvenli dosya dosyaları için kullanılan ve üçüncü taraf tarayıcıya entegre bir araç olan Innorix Agent'taki bir günlük güvenlik açığından yararlanıldığı görüldü. Saldırganlar bu güvenlik açıklarından yararlanarak yanal hareketi kolaylaştırdı ve hedeflenen ana bilgisayara ek kötü amaçlı yazılım kullanımını sağladı. Bu da sonuçta ThreatNeedle ve LPEClient gibi Lazarus imzalı kötü amaçlı yazılımların dağıtımına yol açarak iç ağlardaki sınırları genişletti. Bu, Agamemnon indiricisi aracılığıyla sunulan daha büyük bir saldırı zincirinin parçasıydı ve özellikle Innorix'in açık bir ölçümü (9.2.18.496) hedef alıyordu.
Kaspersky'nin GReAT zararlıları, zararlı yazılımların davranışını analiz ederken, herhangi bir tehdit aktörü saldırılarında kullanmadan önce bulmayı başardıkları başka bir rastgele dosya indirme sıfır gün açığı da keşfetti. Kaspersky, Innorix Agent'taki sorunları Kore İnternet ve Güvenlik Ajansı'na (KrCERT) ve satıcıya bildirdi. Yazılım o zamandan beri yamalı sürümlerle güncellenirken , güvenlik açığına KVE-2025-0014 tanımlayıcısı atandı.
Kaspersky GReAT (Global Araştırma ve Analiz Ekibi) Güvenlik Araştırmacısı Sojun Ryu , şunları söyledi: "Siber güvenliğe proaktif bir yaklaşım çok önemlidir. Derinlemesine zararlı yazılım analizimizin daha önce bilinmeyen bir güvenlik açığını herhangi bir aktif istismarın ortaya çıkmasından önce ortaya çıkması bu mümkün oldu. Bu tür tehditlerin erken tespit edilmesi, sistemlerin daha geniş patlamaların önlenmesidir."
INNORIX ile ilgili bulgulardan önce, Kaspersky ayrıntıları daha önce Güney Kore'ye yönelik takip eden saldırılarda ThreatNeedle ve SIGNBT arka kapısının bir bölümünün bölümünün keşfedilmişti. Zararlı yazılım, meşru bir SyncHost.exe hizmetinde çalışıyor ve çeşitli tarayıcı ortamlarında güvenlik araçlarının desteklenmesi için geliştirilmiş meşru bir Güney Kore yazılımı olan Cross EX'in bir alt işlem olarak oluşturulmuştu.
Kampanyanın ayrıntılı analizi, aynı saldırının vektörünün Güney Kore'deki beş kuruluşta daha iyi bir şekilde tespit edildiğini doğruladı. Her vakadaki bulaşma zincirinin Cross EX'teki potansiyel bir güvenlik açığından kaynaklandığı görüldü ki, bu da tüm operasyondaki bulaşmanın başlangıç noktası olduğunu gösteriyor. Özellikle KrCERT tarafından yayınlanan yakın tarihli bir güvenlik yatırımı, CrossEX'te güvenlik açıklarının özelliklerini doğruladı ve bu güvenlik açığı bu şekilde eğitildi ve zaman diliminde yamalandı.
Kaspersky GReAT (Global Araştırma ve Analiz Uzmanı) direktörü Igor Kuznetsov , şunları ifade etti: "Bu bulgular birlikte daha geniş bir güvenlik endişesini güçlendiriyor. Üçüncü taraf tarayıcı eklentileri ve yardımcı araçlar, bölgesel spesifik veya eski yazılımlara dayanan özellikle saldırıları önemli ölçüde artırıyor.
SyncHole Operasyonu saldırıları nasıl başlıyor?
Lazarus Grubu, genellikle çok sayıda kullanıcı tarafından ziyaret edilen güvenliği ihlal edilmiş çevrimiçi medya web sitelerini yem olarak kullanıyor. Bu teknik, sulama deliği saldırıları olarak da bilinmektedir. Tehdit aktörleri gelen davranışları filtreleyerek ilgilendikleri kişileri tespit ediyor, bu hedeflerden saldırganların kontrolünde web sitelerine yönlendiriyor ve burada bir dizi teknik eylemle saldırı zincirini başlatıyor. Bu yöntem, grup operasyonlarının hedefli ve örgütlenmesini vurguluyor.
Saldırıda kullanılan yönlendirilmiş sayfaya bir örnek
Lazarus'un son kampanyası hakkında daha fazla bilgi toplamak için Securelist.com adresini ziyaret edin
Kaspersky ürünleri, bu saldırılarda kullanılan açık ve kötü amaçlı yazılımları aşağıdaki isimlerle tespit edebiliyor: Trojan.Win64.Lazarus.*, Trojan.Win32.Lazarus.*, MEM:Trojan.Win32.Cometer.gen, MEM:Trojan.Win32.SEPEH.gen, Trojan.Win32.Manuscrypt.*, Trojan.Win64.Manuscrypt.*, Trojan.Win32.Zenpak.*
Kaspersky, Lazarus ve diğer Gelişmiş Kalıcı Tehdit (APT) saldırılarına karşı savunma için doğru tespit, bilinen tehditlere hızlı yanıt ve güvenilir güvenlik araçları öneriyor.
Ek tavsiyeler arasında kayıtlı yer alıyor:
- Saldırganların güvenlik açıklarından yararlanarak ağınıza sızmasını engellemek için kullandığınız tüm cihazlardaki yazılımları her zaman güncel tutun.
- Açıkları ve sistemlerin ortaya çıkması için ağlarınızda ve varlıklarınızda bir siber güvenlik denetimi gerçekleştirmenin ve çevrede veya ağ içinde keşfedilen zayıflıkları hızla düzeltin.
- Şirketi çok çeşitli tehditlere karşı korumak için, her büyüklükteki ve sektördeki kuruluşlar için gerçek zamanlı koruma, tehdit görünümleri, EDR ve XDR'nin araştırma ve yanıt toplamasını sağlayan Kaspersky Next ürün serisindeki çözümleri kullanın
- InfoSec profesyonellerinize kurumunuzu hedef alan siber tehditler hakkında parlamanın görünmesini sağlayın. Kaspersky Threat Intelligence , onlara tüm olay yönetimi konuları boyunca zengin ve anlamlı bir bağlantı sağlar ve siber risklerin zamanında tespit edilmesine yardımcı olur.
Kaspersky hakkında
Kaspersky, 1997 yılında kurulmuş küresel bir siber güvenlik ve dijital gizlilik şirketidir. Bugüne kadar bir milyardan fazla cihaz yeni ortaya çıkan siber tehditlere ve hedefli saldırılara karşı koruyucu Kaspersky, derin tehdit istihbaratı ve güvenlik uzmanlığını sürekli olarak bireyleri, işletmeleri, kritik altyapıları ve hükümetleri koruma odaklı çözümlere ve hizmetlere dönüştürmektedir. Şirketin kapsamlı güvenlik portföyü, kişisel cihazlar için lider dijital yaşam korumasının yanı sıra şirketlere özel güvenlik ürünleri ve hizmetleri ve gelişmiş dijital tehditlere karşı mücadele eden Cyber Immune çözümlerini içermektedir. Milyonlarca birey ve 200.000'den fazla kurumsal kurulum ve değerli varlıkların korunmasına yardımcı olur. Daha fazla bilgi için www.kaspersky.com adresini ziyaret edebilirsiniz.
Yorumunuz başarıyla alındı, inceleme ardından en kısa sürede yayına alınacaktır.
