Siber suçlu grubu Lazarus, Anglo-Sakson askeri-sanayi kompleksinin devlerini hedef alan yeni bir kötü niyetli kampanyayla bağlantılı. Kuzey Kore ile bağlantılı Advanced Persistent Threat (APT) grubu, yakın tarihli bir operasyon sırasında – havacılık, askeri teknoloji, görev sistemleri ve uzay araştırmaları sektörlerinde aktif olan – Amerikan grubu Lockheed Martin olarak poz verdi.
8 Şubat’ta Qualys kıdemli tehdit araştırma mühendisi Akshat Pradhan, iş arayanlara saldırmak için Lockheed Martin adını kullanan yeni bir kampanya ortaya çıkardı. Northrop Grumman ve BAE Systems’in itibarını suistimal eden geçmiş faaliyetlere benzer şekilde Lazarus, istihdam fırsatları sunduğunu iddia eden hedeflere kimlik avı materyalleri gönderiyor.
Bu belgeler, kontrol akışını ele geçirmek, sahte belgeleri almak ve kalıcılık için zamanlanmış görevler oluşturmak için kabuk kodunu tetikleyen kötü amaçlı makrolara sahip dosyalar içerir.
Çok aktif bir grup
Living Off the Land ikili dosyaları (LOLBin’ler) de hedef makineyi daha fazla tehlikeye atmak için kötüye kullanılır. Ancak, kötü niyetli komut dosyaları ek bir yük getirmeye çalıştığında bir hata döndürülür, bu nedenle Qualys kötü amaçlı yazılım paketinin nihai hedefinden emin olamaz. Akshat Pradhan, “Bu kampanyayı Lazarus’a atfediyoruz çünkü belirlediğimiz varyantların makro içeriğinde, kampanya akışında ve kimlik avı temalarında ve ayrıca diğer tedarikçiler tarafından Lazarus’a atfedilen eski varyantlarda önemli bir örtüşme var” diyor.
Bu, Lazarus’un işe başvuranları veya boş pozisyonları ilk kez kullanması değil. F-Secure daha önce, hedeflenen bir kripto para birimi kuruluşuna ait bir sistem yöneticisine gönderilen, iş teklifi gibi görünen kimlik avı e-postalarının örneklerini bulmuştu. Lazarus, yakın zamanda Outpost2’nin Blueliv siber güvenlik ekibi tarafından Cobalt ve FIN7 ile birlikte şu anda en aktif kalıcı tehdit grubu olarak gösterildi.
Bir hatırlatma olarak, Lazarus, Kuzey Kore’ye bağlı devlet destekli bir hacker grubudur. Bu üretken ve sofistike grup genellikle finansal olarak motive olur ve geçmişte WannaCry fidye yazılımı salgını ile başlayan ciddi saldırıların yanı sıra Bangladeş Bankası’ndan 80 milyon dolarlık hırsızlık, Güney Koreli nakliye şirketleri ve tedarik zincirlerine yönelik saldırılardan sorumlu olduğuna inanılıyor. .
Kaynak: ZDNet.com
