Teknoloji sağlayıcısı Broadcom’un güvenlik kolu Symantec, Kuzey Kore bağlantılı Lazarus grubunun kimya sektöründeki hedeflere ve açıldıklarında bilgi toplamak ve saldırganlara geri göndermek için Truva atı programları kuran bilgi teknolojisi şirketlerine sahte iş teklifleri gönderdiğini belirtti. 14 Nisan’da bir tavsiye.
Saldırı, belirli sektörlerdeki hedeflere iş teklifi kılığında kötü niyetli Web dosyaları gönderen ve açıldığında sistemin güvenliğini tehlikeye atmaya çalışan, uzun süredir devam eden bir kampanyanın (Operation Dream Job) bir parçası. Mevcut saldırılar Güney Koreli kimya şirketlerine ve onların BT hizmet sağlayıcılarına odaklanırken, diğer hedefler arasında Avrupa, Asya ve Amerika Birleşik Devletleri’ndeki endüstriler ve devlet kurumları yer alıyor. Bu kampanya, geçmişte Lazarus’un savunma, hükümet ve mühendislik sektörlerini hedef alması nedeniyle bir değişime işaret ediyor.
Symantec’in tehdit avı ekibinin baş istihbarat analisti Dick O’Brien, saldırıların çeşitli zamanlarda savunma müteahhitlerini, mühendislik firmalarını, devlet kurumlarını ve hatta pandeminin zirvesi sırasında ilaç şirketlerini hedef aldığını söylüyor.
“Kuzey Kore bağlantılı saldırganların, muhtemelen stratejik olarak önemli mühendislik veya teknoloji projelerine yardımcı olmak için fikri mülkiyeti hedef alma konusunda uzun bir geçmişi var” diyor ve ekliyor: “Tüm saldırılarda, bir dizi veri hırsızlığı gördük. [and] virüslü bilgisayarlarda dağıtılan veri hırsızlığı araçları. Devam etmeden önce ihtiyaçları olanı aldıklarını varsayıyoruz.”
Diğer güvenlik ve teknoloji firmaları da Lazarus’un bazı araştırmacıların AppleJeus Operasyonu olarak takip ettiği Dream Job Operasyonuna katılımını belgeledi. 2021’in başlarında, Lazarus grubu, güvenlik araştırmacılarını hedef aldı: sektördeki benzer üst düzey iş teklifleri. Ve bu yılın başlarında, saldırganlar kampanyayı izleyen Google’a göre Disney, Google ve Oracle’dan gelen iş tekliflerini kullanarak haber medyası, yazılım satıcıları ve İnternet altyapı sağlayıcıları için çalışan 250’den fazla kişiyi hedef aldı.
Google’ın Tehdit Analizi Grubu’nda araştırmacı olan Adam Weidemann, kripto para ve finansal teknoloji ve hizmet firmalarını hedef alan ilgili bir kampanyaydı. Mart ayının sonundaki bir blog yazısında belirtildi.
“Bu grupların ortak bir tedarik zinciri ile aynı varlık için çalıştığından, dolayısıyla aynı istismar kitinin kullanıldığından şüpheleniyoruz, ancak her biri farklı bir görev seti ile çalışıyor ve farklı teknikler kullanıyor” diye yazdı. “Kuzey Kore hükümeti destekli diğer saldırganların aynı istismar kitine erişimi olması mümkündür.”
Uzun Süreli Kampanya
Symantec’in 14 Nisan tavsiyesi, kampanyanın farklı bir dizi hedefle de olsa en az Ağustos 2020 kadar erken başladığını belirtti. Mevcut kampanya kimya sektörünü hedeflerken, 2020’de keşfedilen kampanyalar devlet kurumlarına ve savunma müteahhitlerine odaklanmıştı. tavsiyesinde belirtilen.
Şirket, “Rüya İşi Operasyonu, kurbanları kötü niyetli bağlantılara tıklamaya veya sonunda casusluk için kullanılan kötü amaçlı yazılımın yüklenmesine yol açan kötü amaçlı ekleri açmaya ikna etmenin bir yolu olarak Lazarus’un sahte iş tekliflerini kullanmasını içeriyor” dedi.
Symantec’in tehdit ekibi, hedefin dosyayı almasından dört günden kısa bir süre sonra, sistem verilerini toplayan ve sızdıran bir programın son yürütülmesine kadar tamamlanan, Ocak 2022’deki başarılı bir saldırının adımlarını özetledi. Symantec’ten O’Brien, hedeflenen kullanıcı sahte iş teklifini açtıktan sonra saldırının iki yazılım paketinden birindeki, sistem yönetimi için INISAFE Web EX İstemcisi veya bir spor salonu yönetim programı olan MagicLine’deki bir güvenlik açığından yararlandığını söylüyor.
“Bizim için sıradan isimler değiller, ancak çalışma varsayımımız şu anda hedefledikleri endüstri veya sektörde yaygın olarak kullanılıyorlar” diyor. “Alternatif bir hipotez, yazılımı enjekte etmek için kendilerinin kurdukları, ancak buna dair herhangi bir kanıt görmedik.”
Her iki uygulamayı da çalıştırmayan şirketlerin bu özel saldırı hakkında endişelenmeleri gerekmeyebilir, ancak Lazarus gibi siber casusluk grupları, saldırıları hedeflerinin ortamına uyacak şekilde uyarlamada çok iyidir, diyor.
O’Brien, bu nedenle tek bir çözümün siber casusluk saldırılarını önlemeye yardımcı olmayacağını vurguladı. Bunun yerine, şirketlerin birden fazla saldırı vektörüne karşı koruma sağlamak için ağ algılama, uç nokta güvenliği ve çok faktörlü kimlik doğrulama gibi sağlamlaştırma teknolojilerini kullanarak savunmaya katmanlı bir yaklaşım benimsemesi gerektiğini söylüyor.
“Ayrıca, idari hesap kullanımının uygun şekilde denetlenmesini ve kontrol edilmesini tavsiye ederiz. [and] Ayrıca yönetici kimlik bilgilerinin çalınmasını ve kötüye kullanılmasını önlemeye yardımcı olmak için yönetim işleri için tek seferlik kimlik bilgilerini de sunabilirsiniz,” diyor O’Brien. “Ayrıca, yönetici araçları için kullanım profilleri oluşturmanızı da öneririz. [because] Bu araçların çoğu, saldırganlar tarafından bir ağda yanal olarak algılanmadan hareket etmek için kullanılıyor.”