By Kaspersky GReAT grubu, Güney Kore’deki kuruluşları gaye almak için üçüncü taraf yazılımlardaki güvenlik açıklarından yararlanma ile watering hole saldırısını birleştiren sofistike yeni bir Lazarus hücum kampanyasını ortaya çıkardı. Araştırma sırasında şirket uzmanları, Güney Kore’de yaygın olarak kullanılan Innorix Agent yazılımında da sıfırıncı gün açığı keşfetti ve bu açık derhal yamalandı. GITEX Asia sırasında açıklanan bulgular, Lazarus’un Güney Kore’nin yazılım ekosistemine ait derin kavrayışından yararlanarak nasıl son derece sofistike, çok kademeli siber ataklar gerçekleştirebildiğini vurguluyor.
Kaspersky GReAT (Global Araştırma ve Tahlil Ekibi) tarafından yayınlanan yeni bir rapora nazaran, saldırganlar Güney Kore’de yazılım, BT, finans, yarı iletken ve telekomünikasyon kesimlerinde en az altı kuruluşu maksat aldı. Lakin gerçek kurban sayısı daha da yüksek olabilir. Kaspersky araştırmacıları bu kampanyaya “Operation SyncHole” ismini verdi.
En az 2009’dan beri etkin olan Lazarus Kümesi, geniş kaynaklara sahip ve berbat şöhretli bir tehdit aktörü olarak biliniyor. Yakın tarihli bir kampanyada, kümenin idari ve finansal sistemlerde inançlı evrak transferleri için kullanılan ve üçüncü taraf tarayıcıya entegre bir araç olan Innorix Agent’taki bir günlük güvenlik açığından yararlandığı görüldü. Saldırganlar bu güvenlik açığından yararlanarak yanal hareketi kolaylaştırdı ve hedeflenen ana bilgisayara ek makus hedefli yazılım yüklenmesini sağladı. Bu da nihayetinde ThreatNeedle ve LPEClient üzere Lazarus imzalı makus hedefli yazılımların dağıtılmasına yol açarak iç ağlardaki pozisyonunu genişletti. Bu açık, Agamemnon indiricisi aracılığıyla sunulan daha büyük bir hücum zincirinin kesimiydi ve bilhassa Innorix’in savunmasız bir sürümünü (9.2.18.496) amaç alıyordu.
Kaspersky’nin GReAT uzmanları, ziyanlı yazılımın davranışını tahlil ederken, rastgele bir tehdit aktörü akınlarında kullanmadan evvel bulmayı başardıkları öteki bir rastgele belge indirme sıfır gün açığı da keşfetti. Kaspersky, Innorix Agent’taki problemleri Kore İnternet ve Güvenlik Ajansı’na (KrCERT) ve satıcıya bildirdi. Yazılım o vakitten beri yamalı sürümlerle güncellenirken, güvenlik açığına KVE-2025-0014 tanımlayıcısı atandı.
Kaspersky GReAT (Global Araştırma ve Tahlil Ekibi) Güvenlik Araştırmacısı Sojun Ryu, şunları söyledi: “Siber güvenliğe proaktif bir yaklaşım çok değerlidir. Derinlemesine ziyanlı yazılım analizimizin daha evvel bilinmeyen bir güvenlik açığını rastgele bir faal istismar belirtisi ortaya çıkmadan evvel ortaya çıkarması bu zihniyet sayesinde oldu. Bu çeşit tehditlerin erken tespiti, sistemlerin daha geniş çapta tehlikeye girmesini önlemenin anahtarıdır.”
INNORIX ile ilgili bulgulardan evvel, Kaspersky uzmanları daha evvel Güney Kore’ye yönelik takip eden hücumlarda ThreatNeedle ve SIGNBT art kapısının bir varyantının kullanıldığını keşfetmişti. Ziyanlı yazılım, yasal bir SyncHost.exe sürecinin belleğinde çalışıyordu ve çeşitli tarayıcı ortamlarında güvenlik araçlarının kullanımını desteklemek için tasarlanmış yasal bir Güney Kore yazılımı olan Cross EX’in bir alt süreci olarak oluşturulmuştu.
Kampanyanın ayrıntılı tahlili, birebir atak vektörünün Güney Kore’deki beş kuruluşta daha dengeli bir formda tespit edildiğini doğruladı. Her bir olaydaki bulaşma zincirinin Cross EX’teki potansiyel bir güvenlik açığından kaynaklandığı görüldü ki, bu da tüm operasyondaki bulaşmanın başlangıç noktası olduğunu düşündürüyor. Bilhassa KrCERT tarafından yayınlanan yakın tarihli bir güvenlik danışmanlığı, CrossEX’te güvenlik açığının varlığını doğruladı ve bu güvenlik açığı bu araştırmanın yapıldığı vakit diliminde yamalandı.
Kaspersky GReAT (Global Araştırma ve Tahlil Ekibi) Direktörü Igor Kuznetsov, şunları söz etti: “Bu bulgular birlikte daha geniş bir güvenlik telaşını güçlendiriyor. Üçüncü taraf tarayıcı eklentileri ve yardımcı araçlar, bilhassa bölgeye mahsus yahut eski yazılımlara dayanan ortamlarda atak yüzeyini değerli ölçüde artırıyor. Bu bileşenler çoklukla yüksek ayrıcalıklarla çalışıyor, bellekte kalıyor ve tarayıcı süreçleriyle derinlemesine etkileşime giriyor. Bu da onları saldırganlar için epeyce cazibeli ve çoklukla çağdaş tarayıcıların kendisinden daha kolay maksatlar haline getiriyor.”
SyncHole Operasyonu atakları nasıl başlıyor?
Lazarus Kümesi, çoklukla çok sayıda kullanıcı tarafından ziyaret edilen güvenliği ihlal edilmiş çevrimiçi medya web sitelerini yem olarak kullanıyor. Bu teknik, watering hole atakları olarak da biliniyor. Tehdit aktörleri gelen trafiği filtreleyerek ilgilendikleri şahısları tespit ediyor, bu maksatları seçerek saldırganların denetimindeki web sitelerine yönlendiriyor ve burada bir dizi teknik hareketle atak zincirini başlatıyor. Bu usul, kümenin operasyonlarının maksatlı ve stratejik tabiatını vurguluyor.
Saldırıda kullanılan yönlendirilmiş sayfaya bir örnek
Lazarus’un son kampanyası hakkında daha fazla bilgi edinmek için Securelist.com adresini ziyaret edin
Kaspersky eserleri, bu atakta kullanılan açıkları ve makus emelli yazılımları aşağıdaki isimlerle tespit edebiliyor: Trojan.Win64.Lazarus.*, Trojan.Win32.Lazarus.*, MEM:Trojan.Win32.Cometer.gen, MEM:Trojan.Win32.SEPEH.gen, Trojan.Win32.Manuscrypt.*, Trojan.Win64.Manuscrypt.*, Trojan.Win32.Zenpak.*
Kaspersky, Lazarus ve öbür Gelişmiş Kalıcı Tehdit (APT) hücumlarına karşı savunmak için yanlışsız tespit, bilinen tehditlere süratli karşılık ve sağlam güvenlik araçları kullanımını öneriyor.
Ek tavsiyeler ortasında şunlar yer alıyor:
- Saldırganların güvenlik açıklarından yararlanarak ağınıza sızmasını önlemek için kullandığınız tüm aygıtlardaki yazılımları her vakit yeni tutun.
- Açıkları ve savunmasız sistemleri ortaya çıkarmak için ağlarınızda ve varlıklarınızda bir siber güvenlik kontrolü gerçekleştirin ve etrafta yahut ağ içinde keşfedilen zayıflıkları süratle düzeltin.
- Şirketi çok çeşitli tehditlere karşı korumak için, her büyüklükteki ve daldaki kuruluşlar için gerçek vakitli müdafaa, tehdit görünürlüğü, EDR ve XDR’nin araştırma ve karşılık yeteneklerini sağlayan Kaspersky Next ürün serisindeki tahlilleri kullanın
- InfoSec profesyonellerinize kurumunuzu maksat alan siber tehditler hakkında derinlemesine görünürlük sağlayın. Kaspersky Threat Intelligence, onlara tüm olay idaresi döngüsü boyunca varlıklı ve manalı bir bağlam sağlar ve siber riskleri vaktinde tespit etmelerine yardımcı olur.
Kaynak: (BYZHA) Beyaz Haber Ajansı
