Kuzey Kore’nin kötü şöhretli Lazarus Grubu bünyesinde, başlangıçta yalnızca madeni para madenciliği saldırılarına odaklanan bir operasyon, dünya çapındaki savunma sektörü kuruluşlarını hedef almaya başladı.
DeathNote kümesinin odak noktası, 2020’de Doğu Avrupa’daki savunma sanayisiyle bağlantılı otomotiv ve akademik kuruluşlara yönelik saldırılarla başladı. DeathNote’un faaliyetlerini takip eden Kaspersky araştırmacıları, Lazarus alt grubunun bu saldırıyı Avrupa, Latin Amerika, Afrika ve Güney Kore’deki savunma ve savunmayla ilgili şirketlere yönelik müteakip kampanyalarla takip ettiğini buldu.
Devam Eden Bir RAT Kampanyası
Kaspersky, DeathNote’u gözlemledi sadece 2022 yılında savunma şirketlerine karşı iki kampanya yürüttü. Bunlardan biri halen devam ediyor ve Afrika’da bir savunma sanayi kuruluşunu kapsıyor. Güvenlik satıcısı, kampanyayı geçen Temmuz’da keşfetti ve DeathNote’un ilk başta Skype messenger aracılığıyla gönderilen Truva atı haline getirilmiş, açık kaynaklı bir PDF okuyucu aracılığıyla şirketi ihlal ettiğini tespit etti. Çalıştırıldıktan sonra, PDF okuyucu, virüslü makinede aynı dizinde meşru bir dosya ve kötü amaçlı bir dosya oluşturdu.
Daha sonra sistem bilgilerini çalmak amacıyla kötü amaçlı yazılım yüklemek için DLL tarafından yükleme olarak bilinen bir teknik kullandı ve saldırgan tarafından kontrol edilen bir komut ve kontrol sunucusundan (C2) Copperhedge adlı gelişmiş bir ikinci aşama uzaktan erişim truva atı (RAT) indirdi. Copperhedge, Lazarus Group kümelerinin 2021’de Güney Koreli bir BT şirketine karşı saldırı da dahil olmak üzere diğer saldırılarda kullandığı kötü amaçlı yazılımdır.
Kaspersky’nin saldırı analizi, kötü amaçlı yazılımın, güvenliği ihlal edilmiş bir ana bilgisayar sisteminde ilk keşiften oturum açma kimlik bilgilerinin alınmasına, yanal hareket ve sızmaya kadar her şey için Mimikatz gibi çok sayıda meşru Windows komutu ve aracı kullandığını gösterdi. Örneğin, temel sistem bilgilerini elde etmek için kötü amaçlı yazılım, TCP ve sistem bilgilerini bulmak veya kayıt defterinden kaydedilen sunucu listesini sorgulamak için Windows komutlarını kullandı.
Kaspersky, aktörün yatay olarak hareket etmek için Windows Algı Simülasyon Hizmeti’nden yararlanarak keyfi DLL dosyalarını yüklemek için ServiceMove adlı bir teknik kullandığını söyledi. “Grup görevini tamamlayıp veri sızdırmaya başladığında, dosyaları sıkıştırmak ve C2 iletişim kanalları aracılığıyla iletmek için çoğunlukla WinRAR yardımcı programını kullandılar.”
DeathNote’un Afrika’daki savunma yüklenicisine karşı kampanyasında kullandığı taktikler, teknikler ve prosedürler (TTP’ler), Kaspersky’nin Latin Amerika’daki bir savunma şirketini vuran başka bir 2022 kampanyasında gözlemlediğine benziyordu.
Genişleyen Siber Hedef Yelpazesi
Kaspersky güvenlik araştırmacısı Seongsu Park, DeathNote’un kripto para madenciliği saldırılarından savunma sektörü casusluğuna evriminin, Lazarus Group’un yıllar içinde hedef listesini genişletme çabalarıyla tutarlı olduğunu söylüyor.
“Geçmişte öncelikli olarak savunma sektörüne saldırırken, geçtiğimiz günlerde yayınladığımız gibi, düşünce kuruluşlarını ve medikal sektörü de hedef aldılar” diye açıklıyor. “Bu, grubun geniş hedef yelpazesini gösteriyor.”
Pek çok kişinin Kuzey Kore hükümetine bağlı bir gelişmiş kalıcı tehdit (APT) olduğuna inandığı Lazarus Group, ilk olarak 2014 yılında Kuzey Kore lideri Kim Jong-un hakkında hicivli bir film nedeniyle Sony Pictures’a yapılan bir saldırıyla dikkatleri üzerine çekti. Yıllar boyunca, araştırmacılar grubu WannaCry fidye yazılımı salgını, Bangladeş’teki bankalardan on milyonlarca doları tüketen saldırılar ve büyük kripto para şirketlerine yönelik saldırılar da dahil olmak üzere çok sayıda başka yüksek profilli saldırıya bağladı.
DeathNote kümesi, şu anda aktif olan en az yedi ayrı Lazarus kötü amaçlı yazılım kümesinden yalnızca biridir. Kaspersky’ye göre diğerleri ThreatNeedle, Bookcode, AppleJeus, Mata, CookieTime ve Manuscrypt. Park, Lazarus grubunun birkaç kümeyi aynı anda çalıştırdığını ve bu kümelerin her birinin, bazen birbiriyle örtüşen özelliklere sahip kendi kötü amaçlı yazılım araç setini kullanarak karmaşık bir şekilde çalıştığını söylüyor.
Park, “Kümelerinin her biri zaman zaman hedefleri değiştirir” diyor. “Lazarus grubuna ait CookieTime ve Bookcode gibi diğer kümelerin de daha önce savunma sanayini hedef aldığını gözlemledik.”
DeathNote’un tipik TTP’leri, hedef odaklı kimlik avı e-postalarını silah haline getirilmiş Word veya PDF okuyucu uygulamalarıyla kullanmayı içerir. Küme madeni para madenciliğine odaklandığı günlerde, kurbanları ilk enfeksiyon vektörünü çalıştırmaya çalışmak için kripto para birimi temalı yemler kullandı. Küme, savunma hedeflerine geçiş yaptığından beri, kimlik avı yemi olarak – iş ilanı olduğu iddia edilenler de dahil olmak üzere – savunma temalı tuzaklar kullanıyor. Kaspersky, DeathNote’un yalnızca ikinci aşama yükünü siber casusluk açısından değerli bulduğu kurbanlara ait sistemlere bıraktığını bulduğunu söyledi.
En azından şu an için DeathNote’un savunma sektörünü hedef alan kampanyaları ABD kuruluşlarını etkilemedi.