Kuzey Koreli Lazarus bilgisayar korsanları, sahte işe alım tuzaklarından yararlanan koordineli bir DreamJob Operasyonu kampanyası aracılığıyla savunma sektöründeki üç Avrupalı şirketin güvenliğini tehlikeye attı.
Tehdit grubunun faaliyeti Mart ayı sonlarında tespit edildi ve insansız hava aracı (İHA) teknolojisinin geliştirilmesinde yer alan kuruluşları hedef aldı.
'DreamJob Operasyonu', büyük bir şirkette (gerçek ya da sahte) işe alım görevlisi gibi davranan düşmanın, yüksek profilli bir rol için iş teklifleriyle ilgili bir kuruluştaki çalışanlara yaklaştığı uzun süredir devam eden bir Lazarus kampanyasıdır.
Hedefler, bilgisayar korsanlarının hedef şirketin sistemlerine erişmesini sağlayan kötü amaçlı dosyaları indirmeleri için kandırılır.
Bu taktik geçmişte kripto para birimi ve DeFi firmalarına, yazılım geliştiricilerine, gazetecilere, güvenlik araştırmacılarına ve ayrıca havacılık sektörü de dahil olmak üzere savunma sektöründeki kuruluşlara karşı kullanılmıştı.
Siber güvenlik şirketi ESET'teki araştırmacılar, Lazarus'un analiz ettikleri en son DreamJob Operasyonunda, mevcut jeopolitik gelişmelerle uyumlu ve Kuzey Kore'nin Batı tasarımlarından "ilham alan" bir drone cephaneliği inşa etme çabalarının artmasıyla örtüşen İHA ile ilgili teknolojiye odaklandığını söylüyor.
ESET, Mart ayının sonlarında, her ikisi de Orta Avrupa'da bulunan "vahşi [DreamJob] saldırılarının, Güneydoğu Avrupa'daki bir metal mühendislik firmasını, bir uçak parçası üreticisini ve bir savunma şirketini başarıyla hedef aldığını" gözlemledi.
Ancak siber güvenlik şirketi, bilgisayar korsanlarının üç şirketi hedef alarak elde ettiği başarıya ilişkin herhangi bir ayrıntı vermedi.
Her üç şirket de, ülkelerinin askeri yardımlarının bir parçası olarak şu anda Ukrayna'da konuşlandırılan askeri teçhizat üretiyor.
Ancak bunlardan ikisi, "birinin kritik drone bileşenleri ürettiği, diğerinin ise İHA ile ilgili yazılımın tasarımıyla meşgul olduğu açıkça İHA teknolojisinin geliştirilmesiyle ilgileniyor."
Enfeksiyon zincirini analiz eden araştırmacılar, bunun kurbanın MuPDF görüntüleyici, Notepad++, WinMerge eklentileri, TightVNC Viewer, libpcre ve DirectX sarmalayıcıları gibi truva atı bulaşmış bir açık kaynaklı uygulamayı veya eklentiyi başlatmasıyla başladığını buldu.
Truva atı haline getirilmiş DLL veya kötü amaçlı yazılım düşürücünün yüklenmesi, kötü amaçlı yükü yüklemek için meşru ancak savunmasız bir yazılım kullanan bir kaçırma tekniği olan DLL yan yükleme yoluyla gerçekleştirildi.
Bir sonraki aşamada yükün şifresi çözülür ve MemoryModule tarzı rutinler kullanılarak doğrudan belleğe yüklenir.
Son aşamadaki kötü amaçlı yazılım, komuta ve kontrol (C2) altyapısıyla iletişim kuran ve talimatları bekleyen ScoringMathTea RAT'tır (Uzaktan Erişim Truva Atı).
Alternatif bir bulaşma zincirinde, ek yükleri almak için Microsoft Graph API'sini ve belirteçlerini kötüye kullanan RAT yerine BinMergeLoader (MISTPEN) adlı bir kötü amaçlı yazılım yükleyicisi kullanılıyor.
İlk olarak 2023'te belgelenen ScoringMathTea RAT, en son sürümünde 40 komutu destekliyor ve bu da saldırganlara komut yürütmeden yeni kötü amaçlı yazılımları bırakmaya kadar geniş bir operasyonel çok yönlülük yelpazesi sunuyor.
ESET, "Uygulanan işlevsellik, Lazarus'un gerektirdiği olağan işlevlerdir: dosyaların ve süreçlerin manipülasyonu, yapılandırmanın değiştirilmesi, kurbanın sistem bilgilerinin toplanması, bir TCP bağlantısının açılması ve yerel komutların veya C&C sunucusundan indirilen yeni yüklerin yürütülmesi".
ESET, DreamJob Operasyonu taktiklerinin ve sosyal mühendislik tuzaklarının raporlar yoluyla defalarca ifşa edilmesine rağmen, bunun Kuzey Koreli tehdit aktörleri için etkili bir çalışma yöntemi olmaya devam ettiğini belirtiyor.
Siber güvenlik şirketi, Lazarus bilgisayar korsanlarının savunma sektöründeki Avrupalı kuruluşlara karşı DreamJob kampanyasında kullandıkları etki alanları ve kötü amaçlı araçlar için kapsamlı bir güvenlik ihlali göstergeleri (IoC) seti sağlıyor.
Ortamların %46'sında şifreler kırıldı; bu oran geçen yılki %25'ten neredeyse iki katına çıktı.
Önleme, tespit ve veri hırsızlığı eğilimlerine ilişkin daha fazla bulguya kapsamlı bir bakış için Picus Blue Report 2025'i hemen edinin.
Rus bilgisayar korsanları "Ben robot değilim" captcha'larına gönderilen kötü amaçlı yazılımları geliştiriyor
Çinli bilgisayar korsanları coğrafi haritalama aracını yıl boyu kalıcılık için kötüye kullanıyor
DNS0.EU özel DNS hizmeti sürdürülebilirlik sorunları nedeniyle kapanıyor
Kuzey Koreli bilgisayar korsanları, blockchaindeki kötü amaçlı yazılımları gizlemek için EtherHiding'i kullanıyor
Kuzey Koreli bilgisayar korsanları bu yıl 2 milyar dolardan fazla kripto para çaldı
Kaynak: Bleeping Computer