Amerika Birleşik Devletleri, Kanada ve Japonya da dahil olmak üzere dünyanın dört bir yanından enerji sağlayıcılarının, APT38 olarak da bilinen devlet destekli Kuzey Koreli hacker grubu Lazarus tarafından hedef alındığı bildiriliyor.
Göre Cisco’nun Talos Intelligence grubu (yeni sekmede açılır)kampanya, uzun vadeli erişim sağlamak ve ardından ulus-devleti ilgilendiren verileri sızdırmak için dünyanın dört bir yanındaki kuruluşlara sızmayı amaçlıyor.
Kesin hedefler isimsiz kalsa da, saldırılar bir kez daha Kuzey Kore ve Lazarus’un istikrarsızlaştırma çabaları yoluyla oluşturabileceği tehdidi gösteriyor.
Saldırı nasıl çalıştı?
Talos’a göre, bu kampanya, hedeflenen kuruluşlarda bir başlangıç noktası elde etmek için VMWare Horizon sanal masaüstü ürünündeki güvenlik açıklarından yararlanmayı içeriyordu.
Grup, hedeflenen kurumsal ağlara başarılı bir şekilde girdikten sonra, HTML botları VSingle ve YamaBot dahil olmak üzere özel kötü amaçlı yazılım implantlarını devreye aldı.
Bilinen bu kötü amaçlı yazılım ailelerine ek olarak, “MagicRAT” adlı önceden bilinmeyen bir kötü amaçlı yazılım implantının kullanımını keşfettiklerini iddia ettiler.
Kuruluşlara ilk girişin, isteğe bağlı kod yürütmeyi içeren popüler bir Java günlük kaydı çerçevesi olan Log4j’deki sıfır gün güvenlik açığı olan Log4Shell (CVE-2021-44228) kullanılarak yapıldığı bildirildi.
Siber güvenlik şirketi Tenable, daha önce Log4Shell’i “şimdiye kadarki en büyük, en kritik güvenlik açığı” olarak adlandırmıştı.
Bu, Kuzey Kore’nin yabancı güçlere yönelik saldırılarda ilk kez yer alması olmayacak; Kaspersky Lab’deki güvenlik araştırmacıları, Kuzey Kore’yi 150 ülkede 300.000 bilgisayarı devre dışı bırakan ve İngiltere’nin NHS’sinde benzeri görülmemiş sorunlara neden olan Wannacry fidye yazılımı saldırısına bağladı.
2010 yılında kurulduğundan bu yana, Lazarus grubu kesinlikle başka bir şey değilse de meşgul olmaya devam ediyor. Son zamanlarda, dikkatini blok zincirler ve DeFi dünyasına çeviriyor.
Lazarus, bugüne kadarki en büyük DefI hack’lerinden biri olarak bilinen popüler blockchain entegre oyunu Axie Infinity’ye güç veren Ronin yan zincirine 615 milyon dolar değerinde bir saldırıyla bağlantılıydı.
- Kuruluşunuza sızan bilgisayar korsanlarından mı korkuyorsunuz? En iyi uç nokta korumasına yönelik kılavuzumuza göz atın.