By Kaspersky GReAT grubu, Güney Kore’deki kuruluşları gaye almak için üçüncü taraf yazılımlardaki güvenlik açıklarından yararlanma ile watering hole saldırısını birleştiren sofistike yeni bir Lazarus taarruz kampanyasını ortaya çıkardı. Araştırma sırasında şirket uzmanları, Güney Kore’de yaygın olarak kullanılan Innorix Agent yazılımında da sıfırıncı gün açığı keşfetti ve bu açık derhal yamalandı. GITEX Asia sırasında açıklanan bulgular, Lazarus’un Güney Kore’nin yazılım ekosistemine ait derin kavrayışından yararlanarak nasıl son derece sofistike, çok etaplı siber taarruzlar gerçekleştirebildiğini vurguluyor.
Kaspersky GReAT (Global Araştırma ve Tahlil Ekibi) tarafından yayınlanan yeni bir rapora nazaran, saldırganlar Güney Kore’de yazılım, BT, finans, yarı iletken ve telekomünikasyon bölümlerinde en az altı kuruluşu maksat aldı. Lakin gerçek kurban sayısı daha da yüksek olabilir. Kaspersky araştırmacıları bu kampanyaya “Operation SyncHole” ismini verdi.
En az 2009’dan beri etkin olan Lazarus Kümesi, geniş kaynaklara sahip ve makus şöhretli bir tehdit aktörü olarak biliniyor. Yakın tarihli bir kampanyada, kümenin idari ve finansal sistemlerde inançlı evrak transferleri için kullanılan ve üçüncü taraf tarayıcıya entegre bir araç olan Innorix Agent’taki bir günlük güvenlik açığından yararlandığı görüldü. Saldırganlar bu güvenlik açığından yararlanarak yanal hareketi kolaylaştırdı ve hedeflenen ana bilgisayara ek makûs hedefli yazılım yüklenmesini sağladı. Bu da nihayetinde ThreatNeedle ve LPEClient üzere Lazarus imzalı makus emelli yazılımların dağıtılmasına yol açarak iç ağlardaki pozisyonunu genişletti. Bu açık, Agamemnon indiricisi aracılığıyla sunulan daha büyük bir akın zincirinin kesimiydi ve bilhassa Innorix’in savunmasız bir sürümünü (9.2.18.496) gaye alıyordu.
Kaspersky’nin GReAT uzmanları, ziyanlı yazılımın davranışını tahlil ederken, rastgele bir tehdit aktörü akınlarında kullanmadan evvel bulmayı başardıkları öbür bir rastgele evrak indirme sıfır gün açığı da keşfetti. Kaspersky, Innorix Agent’taki problemleri Kore İnternet ve Güvenlik Ajansı’na (KrCERT) ve satıcıya bildirdi. Yazılım o vakitten beri yamalı sürümlerle güncellenirken, güvenlik açığına KVE-2025-0014 tanımlayıcısı atandı.
Kaspersky GReAT (Global Araştırma ve Tahlil Ekibi) Güvenlik Araştırmacısı Sojun Ryu, şunları söyledi: “Siber güvenliğe proaktif bir yaklaşım çok değerlidir. Derinlemesine ziyanlı yazılım analizimizin daha evvel bilinmeyen bir güvenlik açığını rastgele bir etkin istismar belirtisi ortaya çıkmadan evvel ortaya çıkarması bu zihniyet sayesinde oldu. Bu cins tehditlerin erken tespiti, sistemlerin daha geniş çapta tehlikeye girmesini önlemenin anahtarıdır.”
INNORIX ile ilgili bulgulardan evvel, Kaspersky uzmanları daha evvel Güney Kore’ye yönelik takip eden hücumlarda ThreatNeedle ve SIGNBT art kapısının bir varyantının kullanıldığını keşfetmişti. Ziyanlı yazılım, legal bir SyncHost.exe sürecinin belleğinde çalışıyordu ve çeşitli tarayıcı ortamlarında güvenlik araçlarının kullanımını desteklemek için tasarlanmış legal bir Güney Kore yazılımı olan Cross EX’in bir alt süreci olarak oluşturulmuştu.
Kampanyanın ayrıntılı tahlili, birebir atak vektörünün Güney Kore’deki beş kuruluşta daha dengeli bir halde tespit edildiğini doğruladı. Her bir olaydaki bulaşma zincirinin Cross EX’teki potansiyel bir güvenlik açığından kaynaklandığı görüldü ki, bu da tüm operasyondaki bulaşmanın başlangıç noktası olduğunu düşündürüyor. Bilhassa KrCERT tarafından yayınlanan yakın tarihli bir güvenlik danışmanlığı, CrossEX’te güvenlik açığının varlığını doğruladı ve bu güvenlik açığı bu araştırmanın yapıldığı vakit diliminde yamalandı.
Kaspersky GReAT (Global Araştırma ve Tahlil Ekibi) Direktörü Igor Kuznetsov, şunları tabir etti: “Bu bulgular birlikte daha geniş bir güvenlik telaşını güçlendiriyor. Üçüncü taraf tarayıcı eklentileri ve yardımcı araçlar, bilhassa bölgeye has yahut eski yazılımlara dayanan ortamlarda hücum yüzeyini değerli ölçüde artırıyor. Bu bileşenler çoklukla yüksek ayrıcalıklarla çalışıyor, bellekte kalıyor ve tarayıcı süreçleriyle derinlemesine etkileşime giriyor. Bu da onları saldırganlar için epey cazibeli ve çoklukla çağdaş tarayıcıların kendisinden daha kolay maksatlar haline getiriyor.”
SyncHole Operasyonu taarruzları nasıl başlıyor?
Lazarus Kümesi, çoklukla çok sayıda kullanıcı tarafından ziyaret edilen güvenliği ihlal edilmiş çevrimiçi medya web sitelerini yem olarak kullanıyor. Bu teknik, watering hole hücumları olarak da biliniyor. Tehdit aktörleri gelen trafiği filtreleyerek ilgilendikleri şahısları tespit ediyor, bu amaçları seçerek saldırganların denetimindeki web sitelerine yönlendiriyor ve burada bir dizi teknik aksiyonla atak zincirini başlatıyor. Bu yol, kümenin operasyonlarının gayeli ve stratejik tabiatını vurguluyor.
Saldırıda kullanılan yönlendirilmiş sayfaya bir örnek
Lazarus’un son kampanyası hakkında daha fazla bilgi edinmek için Securelist.com adresini ziyaret edin
Kaspersky eserleri, bu akında kullanılan açıkları ve makûs emelli yazılımları aşağıdaki isimlerle tespit edebiliyor: Trojan.Win64.Lazarus.*, Trojan.Win32.Lazarus.*, MEM:Trojan.Win32.Cometer.gen, MEM:Trojan.Win32.SEPEH.gen, Trojan.Win32.Manuscrypt.*, Trojan.Win64.Manuscrypt.*, Trojan.Win32.Zenpak.*
Kaspersky, Lazarus ve öteki Gelişmiş Kalıcı Tehdit (APT) hücumlarına karşı savunmak için yanlışsız tespit, bilinen tehditlere süratli cevap ve muteber güvenlik araçları kullanımını öneriyor.
Ek tavsiyeler ortasında şunlar yer alıyor:
- Saldırganların güvenlik açıklarından yararlanarak ağınıza sızmasını önlemek için kullandığınız tüm aygıtlardaki yazılımları her vakit şimdiki tutun.
- Açıkları ve savunmasız sistemleri ortaya çıkarmak için ağlarınızda ve varlıklarınızda bir siber güvenlik kontrolü gerçekleştirin ve etrafta yahut ağ içinde keşfedilen zayıflıkları süratle düzeltin.
- Şirketi çok çeşitli tehditlere karşı korumak için, her büyüklükteki ve bölümdeki kuruluşlar için gerçek vakitli müdafaa, tehdit görünürlüğü, EDR ve XDR’nin araştırma ve karşılık yeteneklerini sağlayan Kaspersky Next ürün serisindeki tahlilleri kullanın
- InfoSec profesyonellerinize kurumunuzu amaç alan siber tehditler hakkında derinlemesine görünürlük sağlayın. Kaspersky Threat Intelligence, onlara tüm olay idaresi döngüsü boyunca varlıklı ve manalı bir bağlam sağlar ve siber riskleri vaktinde tespit etmelerine yardımcı olur.
Kaynak: (BYZHA) Beyaz Haber Ajansı
