By Kaspersky GReAT takımı, Güney Kore’deki kuruluşları amaç almak için üçüncü taraf yazılımlardaki güvenlik açıklarından yararlanma ile watering hole saldırısını birleştiren sofistike yeni bir Lazarus hücum kampanyasını ortaya çıkardı. Araştırma sırasında şirket uzmanları, Güney Kore’de yaygın olarak kullanılan Innorix Agent yazılımında da sıfırıncı gün açığı keşfetti ve bu açık derhal yamalandı. GITEX Asia sırasında açıklanan bulgular, Lazarus’un Güney Kore’nin yazılım ekosistemine ait derin kavrayışından yararlanarak nasıl son derece sofistike, çok basamaklı siber taarruzlar gerçekleştirebildiğini vurguluyor.
Kaspersky GReAT (Global Araştırma ve Tahlil Ekibi) tarafından yayınlanan yeni bir rapora nazaran, saldırganlar Güney Kore’de yazılım, BT, finans, yarı iletken ve telekomünikasyon dallarında en az altı kuruluşu amaç aldı. Fakat gerçek kurban sayısı daha da yüksek olabilir. Kaspersky araştırmacıları bu kampanyaya “Operation SyncHole” ismini verdi.
En az 2009’dan beri etkin olan Lazarus Kümesi, geniş kaynaklara sahip ve berbat şöhretli bir tehdit aktörü olarak biliniyor. Yakın tarihli bir kampanyada, kümenin idari ve finansal sistemlerde inançlı evrak transferleri için kullanılan ve üçüncü taraf tarayıcıya entegre bir araç olan Innorix Agent’taki bir günlük güvenlik açığından yararlandığı görüldü. Saldırganlar bu güvenlik açığından yararlanarak yanal hareketi kolaylaştırdı ve hedeflenen ana bilgisayara ek berbat gayeli yazılım yüklenmesini sağladı. Bu da nihayetinde ThreatNeedle ve LPEClient üzere Lazarus imzalı makus maksatlı yazılımların dağıtılmasına yol açarak iç ağlardaki pozisyonunu genişletti. Bu açık, Agamemnon indiricisi aracılığıyla sunulan daha büyük bir taarruz zincirinin kesimiydi ve bilhassa Innorix’in savunmasız bir sürümünü (9.2.18.496) maksat alıyordu.
Kaspersky’nin GReAT uzmanları, ziyanlı yazılımın davranışını tahlil ederken, rastgele bir tehdit aktörü akınlarında kullanmadan evvel bulmayı başardıkları öteki bir rastgele belge indirme sıfır gün açığı da keşfetti. Kaspersky, Innorix Agent’taki problemleri Kore İnternet ve Güvenlik Ajansı’na (KrCERT) ve satıcıya bildirdi. Yazılım o vakitten beri yamalı sürümlerle güncellenirken, güvenlik açığına KVE-2025-0014 tanımlayıcısı atandı.
Kaspersky GReAT (Global Araştırma ve Tahlil Ekibi) Güvenlik Araştırmacısı Sojun Ryu, şunları söyledi: “Siber güvenliğe proaktif bir yaklaşım çok kıymetlidir. Derinlemesine ziyanlı yazılım analizimizin daha evvel bilinmeyen bir güvenlik açığını rastgele bir faal istismar belirtisi ortaya çıkmadan evvel ortaya çıkarması bu zihniyet sayesinde oldu. Bu çeşit tehditlerin erken tespiti, sistemlerin daha geniş çapta tehlikeye girmesini önlemenin anahtarıdır.”
INNORIX ile ilgili bulgulardan evvel, Kaspersky uzmanları daha evvel Güney Kore’ye yönelik takip eden taarruzlarda ThreatNeedle ve SIGNBT art kapısının bir varyantının kullanıldığını keşfetmişti. Ziyanlı yazılım, legal bir SyncHost.exe sürecinin belleğinde çalışıyordu ve çeşitli tarayıcı ortamlarında güvenlik araçlarının kullanımını desteklemek için tasarlanmış legal bir Güney Kore yazılımı olan Cross EX’in bir alt süreci olarak oluşturulmuştu.
Kampanyanın ayrıntılı tahlili, birebir akın vektörünün Güney Kore’deki beş kuruluşta daha dengeli bir biçimde tespit edildiğini doğruladı. Her bir olaydaki bulaşma zincirinin Cross EX’teki potansiyel bir güvenlik açığından kaynaklandığı görüldü ki, bu da tüm operasyondaki bulaşmanın başlangıç noktası olduğunu düşündürüyor. Bilhassa KrCERT tarafından yayınlanan yakın tarihli bir güvenlik danışmanlığı, CrossEX’te güvenlik açığının varlığını doğruladı ve bu güvenlik açığı bu araştırmanın yapıldığı vakit diliminde yamalandı.
Kaspersky GReAT (Global Araştırma ve Tahlil Ekibi) Direktörü Igor Kuznetsov, şunları tabir etti: “Bu bulgular birlikte daha geniş bir güvenlik tasasını güçlendiriyor. Üçüncü taraf tarayıcı eklentileri ve yardımcı araçlar, bilhassa bölgeye has yahut eski yazılımlara dayanan ortamlarda taarruz yüzeyini kıymetli ölçüde artırıyor. Bu bileşenler ekseriyetle yüksek ayrıcalıklarla çalışıyor, bellekte kalıyor ve tarayıcı süreçleriyle derinlemesine etkileşime giriyor. Bu da onları saldırganlar için epeyce cazip ve ekseriyetle çağdaş tarayıcıların kendisinden daha kolay amaçlar haline getiriyor.”
SyncHole Operasyonu hücumları nasıl başlıyor?
Lazarus Kümesi, çoklukla çok sayıda kullanıcı tarafından ziyaret edilen güvenliği ihlal edilmiş çevrimiçi medya web sitelerini yem olarak kullanıyor. Bu teknik, watering hole atakları olarak da biliniyor. Tehdit aktörleri gelen trafiği filtreleyerek ilgilendikleri bireyleri tespit ediyor, bu maksatları seçerek saldırganların denetimindeki web sitelerine yönlendiriyor ve burada bir dizi teknik aksiyonla akın zincirini başlatıyor. Bu metot, kümenin operasyonlarının maksatlı ve stratejik tabiatını vurguluyor.
Saldırıda kullanılan yönlendirilmiş sayfaya bir örnek
Lazarus’un son kampanyası hakkında daha fazla bilgi edinmek için Securelist.com adresini ziyaret edin
Kaspersky eserleri, bu taarruzda kullanılan açıkları ve makûs hedefli yazılımları aşağıdaki isimlerle tespit edebiliyor: Trojan.Win64.Lazarus.*, Trojan.Win32.Lazarus.*, MEM:Trojan.Win32.Cometer.gen, MEM:Trojan.Win32.SEPEH.gen, Trojan.Win32.Manuscrypt.*, Trojan.Win64.Manuscrypt.*, Trojan.Win32.Zenpak.*
Kaspersky, Lazarus ve öbür Gelişmiş Kalıcı Tehdit (APT) ataklarına karşı savunmak için gerçek tespit, bilinen tehditlere süratli karşılık ve emniyetli güvenlik araçları kullanımını öneriyor.
Ek tavsiyeler ortasında şunlar yer alıyor:
- Saldırganların güvenlik açıklarından yararlanarak ağınıza sızmasını önlemek için kullandığınız tüm aygıtlardaki yazılımları her vakit yeni tutun.
- Açıkları ve savunmasız sistemleri ortaya çıkarmak için ağlarınızda ve varlıklarınızda bir siber güvenlik kontrolü gerçekleştirin ve etrafta yahut ağ içinde keşfedilen zayıflıkları süratle düzeltin.
- Şirketi çok çeşitli tehditlere karşı korumak için, her büyüklükteki ve daldaki kuruluşlar için gerçek vakitli müdafaa, tehdit görünürlüğü, EDR ve XDR’nin araştırma ve karşılık yeteneklerini sağlayan Kaspersky Next ürün serisindeki tahlilleri kullanın
- InfoSec profesyonellerinize kurumunuzu maksat alan siber tehditler hakkında derinlemesine görünürlük sağlayın. Kaspersky Threat Intelligence, onlara tüm olay idaresi döngüsü boyunca varlıklı ve manalı bir bağlam sağlar ve siber riskleri vaktinde tespit etmelerine yardımcı olur.
Kaynak: (BYZHA) Beyaz Haber Ajansı
