Kaspersky Araştırma ve Tahlil Grubu (GReAT), makûs niyetli Lazarus kümesinin dünya çapındaki kuruluşları amaç alan yeni kampanyasını ortaya çıkardı. Security Analyst Summit’te (SAS) sunulan araştırma, makus emelli yazılımlar aracılığıyla dağıtılan ve legal yazılımlarla yayılan sofistike APT kampanyasının ayrıntılarını ortaya koydu.
GReAT takımı, dijital sertifikalar aracılığıyla web irtibatını şifrelemek için tasarlanmış yasal bir yazılım aracılığıyla gayelerine virüs bulaştıran bir siber güvenlik olayını tespit etti. Kelam konusu güvenlik açıkları raporlanmasına ve yama yayınlanmasına karşın, dünya genelindeki kuruluşlar hala yazılımın kusurlu sürümünü kullanarak Lazarus akın kümesi için giriş noktası sağlamaya devam ediyor.
Saldırganlar kurbanı denetim etmek için yüksek seviyede karmaşık yapıya sahip, gelişmiş kontrolden kaçınma teknikleri kullanan bir “SIGNBT” makûs maksatlı yazılımı konuşlandırdı. Ayrıyeten daha evvel savunma sanayi yüklenicilerini, nükleer mühendisleri ve kripto para kesimini maksat aldığı bilinen LPEClient aracını da kullandılar. Bu berbat emelli yazılım, birinci bulaşma noktası olarak hareket ediyor ve kurbanın profilinin çıkarılmasında ve yükün iletilmesinde değerli bir rol oynuyor. Kaspersky araştırmacılarının müşahedeleri, LPEClient’in bu ve öteki hücumlardaki rolünün 3CX tedarik zinciri saldırısında da görüldüğü üzere Lazarus kümesi tarafından kullanılan taktiklerle uyumlu olduğunu gösteriyor.
Araştırma derinleştikçe, Lazarus makus gayeli yazılımının bir yazılım satıcısı olan birinci kurbanını daha evvel de birkaç defa maksat aldığı ortaya çıktı. Bu tekrar eden taarruz modeli, muhtemelen kritik kaynak kodunu çalmak yahut yazılım tedarik zincirini bozmak niyetinde olan kararlı ve odaklanmış bir efora işaret ediyor. Tehdit aktörü, şirketin yazılımındaki güvenlik açıklarından daima olarak yararlanma yoluna gitti ve yazılımın yama uygulanmamış sürümünü kullanan öbür şirketleri maksat alarak kapsamını genişletti. Kaspersky’nin Endpoint Security çözümü tehdidi proaktif olarak tespit etti ve öbür gayelere yönelik daha fazla saldırıyı önledi.
Kaspersky Küresel Araştırma ve Tahlil Grubu Baş Güvenlik Araştırmacısı Seongsu Park, “Lazarus kümesinin devam eden faaliyetleri, gelişmiş kabiliyetlerinin ve sarsılmaz motivasyonlarının bir delili niteliğinde. Global ölçekte faaliyet gösteriyorlar ve çeşitli tekniklerle çok çeşitli kesimleri amaç alıyorlar. Bu durum, daha fazla dikkat gerektiren, devam eden ve gelişen bir tehdide işaret ediyor” dedi.
Kaspersky araştırmacıları, bilinen yahut bilinmeyen bir tehdit aktörünün gayeli saldırısının kurbanı olmamak için aşağıdaki tedbirlerin alınmasını tavsiye ediyor:
- Bilinen güvenlik açıklarını kapatmak için işletim sisteminizi, uygulamalarınızı ve antivirüs yazılımınızı nizamlı olarak güncelleyin.
- Hassas bilgilerinizi isteyen e-postalara, bildirilere yahut aramalara karşı dikkatli olun. Rastgele bir ferdî bilgiyi paylaşmadan yahut kuşkulu ilişkilere tıklamadan evvel gönderenin kimliğini doğrulayın.
- SOC takımınıza en son tehdit istihbaratına (TI) erişim sağlayın. Kaspersky Tehdit İstihbaratı Portalı , şirketin tehdit istihbaratına erişim noktasıdır ve Kaspersky tarafından 20 yılı aşkın bir müddettir toplanan siber hücum datalarını ve içgörülerini sağlar.
- GReAT uzmanları tarafından hazırlanan Kaspersky çevrimiçi eğitimiyle siber güvenlik takımınızı en son maksatlı tehditlerle gayret edecek formda geliştirin
- Uç nokta seviyesinde tespit, araştırma ve olayların vaktinde düzeltilmesi için Kaspersky Endpoint Detection and Response gibi EDR tahlillerini kullanın.
Kaynak: (BYZHA) Beyaz Haber Ajansı
