Lazarus grubunun siber saldırı stratejileri nelerdir?
Operation SyncHole nedir ve nasıl işliyor?
Hedef seçiminde kullanılan yöntemler nelerdir?
Kaspersky’nin araştırmasına göre saldırının etkileri nedir?
Lazarus grubunun kullandığı araçlar ve yazılımlar nelerdir?
Lazarus grubunun siber saldırı stratejileri nelerdir?
Lazarus grubu, Kuzey Kore hükümeti tarafından desteklenen bir siber suç örgütüdür ve sıklıkla karmaşık saldırı stratejileri kullanmaktadır. Bu grubun uyguladığı siber saldırı stratejilerinin başında "watering hole" saldırıları yer alır. Bu yöntem, saldırganların meşru bir web sitesini ele geçirerek hedeflenen kullanıcıları kötü amaçlı yazılımlara yönlendirmeyi içerir. Kullanıcılar, güvenilir bir kaynağa erişirken aslında zararlı bir yazılımın hedefi haline gelirler.
Bu saldırılar genellikle belirli bir sektördeki kullanıcıları hedef alır. Lazarus grubu, yazılım, IT, finans ve telekomünikasyon sektörlerindeki organizasyonları hedef almıştır. Özellikle, zararlı yazılımın dağıtımında kullanılan güvenlik yazılımını etkileyen açıklar da bu tür saldırılarda kritik rol oynamaktadır. Grubun stratejileri, genellikle hedefleri belirlemek, güvenilir kaynaklar üzerinden kullanıcıları ele geçirmek ve ardından bu kullanıcılar üzerinde kontrol sağlamak üzere şekillenmektedir.
Operation SyncHole nedir ve nasıl işliyor?
Operation SyncHole, Lazarus grubunun 2024 Kasım ile 2025 Şubat arasında gerçekleştirdiği bir siber saldırı kampanyasıdır. Kaspersky’nin araştırmasına göre, bu kampanya çerçevesinde, Güney Kore’deki en az altı yazılım, IT, finans, yarı iletken üretimi ve telekomünikasyon şirketinin etkilenmiş olduğu belirlenmiştir. Saldırının temelini, bir dosya transfer istemcisi için bilinen bir açığın kötüye kullanılması oluşturmaktadır.
Saldırı, hedeflerin meşru Güney Kore medya portallarına erişimi ile başlar. Lazarus, bu siteleri ele geçirdiği sunucu tarafı betikleri kullanarak, ziyaretçileri kötü amaçlı alanlara yönlendirmektedir. Hedef kullanıcılar, sahte yazılım sağlayıcılarının taklit edildiği sitelere yönlendirilir. Bu aşamada, kötü amaçlı bir JavaScript kullanılarak Cross EX yazılımının güvenlik açığı kötüye kullanılır ve kullanıcıların sistemlerine zararlı yazılımlar yüklenir.
Kaspersky’ye göre, saldırı süreci, kurban alarak ‘SyncHost.exe’ sürecinin başlatılmasıyla devam eder. Bu süreç, ‘ThreatNeedle’ arka kapısını yüklemek için shell kodunun enjekte edilmesi gibi adımlar içerir. Saldırının etkileri analiz edildiğinde, farklı enfeksiyon zincirleri gözlemlenmiştir; her bir kurban üzerinde farklı yöntemler kullanılarak uygulanmış olsa da, başlangıç enfeksiyonu benzer kalmıştır.
Hedef seçiminde kullanılan yöntemler nelerdir?
Lazarus grubunun hedef seçiminde kullandığı yöntemler, özellikle belirli yazılımlara bağımlılığa ve popülariteye dayanmaktadır. Saldırı, hedeflenen kuruluşların sıkça kullandığı yazılımların güvenlik açıklarını hedef alarak gerçekleştirilmiştir. Bu bağlamda, Kaspersky, operasyonun başladığı aşamada, meşru medya portallarına erişim sağlayan kullanıcıları hedef alarak, onları daha sonra sahte sitelere yönlendirdiğini belirtmektedir.
Saldırıların planlanmasında dikkat edilen bir diğer önemli nokta, hedef şirketlerin sektörel özellikleri ve kullandıkları yazılımlardır. Lazarus, üçüncü parti yazılımların güvenlik açıklarını araştırmakta ve bunları istismar ediyor. Özellikle finansal işlemlerde ve devletle etkileşimlerde kullanılan güvenlik yazılımlarının hedef alınması, saldırıların etkisini artırmıştır. Hedef seçiminde, kullanılabilir yazılım kaynaklarının araştırılması ve bu kaynaklardaki açığın belirlenmesi de kritik öneme sahiptir.
Kaspersky’nin araştırmasına göre saldırının etkileri nedir?
Kaspersky’nin araştırmaları, Operation SyncHole’ın sadece birkaç kurumu değil, çok sayıda çarpan etkisi yarattığını ortaya koymaktadır. İlk başlarda yalnızca altı organizasyonun etkilendiği belirtilse de, yazılımın yaygınlığı göz önünde bulundurulduğunda, daha fazla kuruluşun saldırılara maruz kalmış olabileceği tahmin edilmektedir. Kaspersky, kampanyanın yerel işletmelere verdiği zararı vurgulayarak, bu tür saldırıların güvenlik ihlalleri yoluyla milyarlarca dolarlık kayıplara neden olabileceğini belirtmiştir.
Aynı zamanda, Lazarus grubunun kullanılan araçlar ve yöntemler itibarıyla, daha hafif ve modüler yazılımlara yöneldiği gözlemlenmektedir. Bu durum, tehdit aktörlerinin siber güvenlik önlemlerinden kaçınma kapasitesini artırmakta ve siber saldırıların daha geniş bir kitleyi etkilemesini sağlamaktadır. Ayrıca, Kaspersky’nin gözlemleri doğrultusunda, bu saldırıların zamanlaması ve uygulama biçimi, Lazarus grubunun mevcut yöntemleri ile eski TTP’leri arasındaki geçişkenliği ortaya koymaktadır.
Lazarus grubunun kullandığı araçlar ve yazılımlar nelerdir?
Lazarus grubunun kullandığı araçlar ve yazılımlar arasında, ‘ThreatNeedle’ arka kapısı önemli bir yere sahiptir. Bu arka kapı, kurbanların sistemlerinde 37 farklı komut çalıştırmak için kullanılmaktadır. Aksi takdirde, ‘SIGNBT’ implantı kullanılabilmektedir. Bunun yanı sıra, ‘Copperhedge’ backdoor’u iç mekan araştırmaları için kullanılmaktadır.
Saldırının gerçekleştirilmesinde kullanılan diğer bir araç ise ‘Innorix Abuser’ adlı bir yazılım çözümüdür. Bu yazılım, kurumsal ağlar içerisinde yatay hareketlilik sağlamak için kullanılmaktadır. Kaspersky, bu araçların yaygın olarak kullanıldığını ve genellikle belirli yazılımlar üzerinde açıklar bulunarak bu açıkların kötüye kullanıldığını ifade etmiştir.
Araştırmalar, Lazarus grubunun daha önce bilinmeyen ‘zero-day’ zafiyetleri bulduğunu ve bu zafiyetleri de hedef organizasyonlara zarar vermek amacıyla etkin bir şekilde kullandığını göstermiştir. Tüm bu faaliyetler, Kaspersky tarafından ilgili mercilere rapor edilmekte ve bunun sonucunda yazılımların güncellemeleri sağlanmaktadır.
