Lazarus Grubu, Kuzey Kore’nin en tehlikeli siber saldırı gruplarından biri olarak bilinirken, son araştırmalar bu grubun uzaktan çalışmaya yönelik yeni bir taktik geliştirdiğini ortaya koydu. BCA LTD kurucusu Mauro Eldritch liderliğindeki bir araştırma ekibi, NorthScan ve ANY.RUN gibi tehdit istihbarat kuruluşlarıyla iş birliği yaparak, Lazarus’un Chollima birimi altında yıllarca süren sızma girişimlerini canlı olarak kaydetmeyi başardı.
Kurulum: İşe Alım ve Takip
Bu zahmetli operasyon, KuzeyScan çalışanı Heiner García tarafından bir Lazarus işe alım temsilcisi gibi davranarak başladı. García, “Aaron” (veya “Blaze”) takma adı ile, Kuzey Koreli siber ajanların batıda istihdam edilmesine olanak tanıyan bir iş görüşmesi ayarladı. Bu tür bir taktik, genellikle finans, kripto, sağlık hizmetleri ve mühendislik sektörlerinde kullanılmaktadır.
| Sahte iş teklifini sunan bir işe alım mesajı |
Bu süreçte, hedef alınan kimliklerin çalınması, yapay zeka araçlarıyla mülakat sorularına yanıt verilmesi ve uzaktan çalışma gibi aşamalar izlenmiştir. Blaze, tam erişim talep ettiğinde, bu sefer BCA LTD ekibi harekete geçti.
Ağ: Gerçek Olmayan Bir “Laptop Çiftliği”
Gözlemci ekip, gerçek bir bilgisayar yerine ANY.RUN Sandbox ortamları oluşturdu. Bu sanal makineler, tam bir kişisel iş istasyonu gibi sahnelendi ve kullanıcının her hareketi kaydedildi.
 |
| ANY.RUN’ın sunduğu güvenli sanal ortam |
Famous Chollima’nın Araç Setinde Neler Vardı?
Çalışmalar sırasında, bu sanal ortamda kullanılan etkili araç seti, kimlik ele geçirme ve uzaktan erişim üzerine odaklanmıştı. Araçların içerikleri arasında:
- AI destekli iş otomasyon araçları (Simplify Copilot, AiApply) ile otomatik iş başvuruları.
- Tarayıcı tabanlı OTP üreticileri ile iki faktörlü doğrulama (2FA) işlemleri.
- Google Remote Desktop aracılığıyla sürekli kontrol.
- Donanım ve ortam doğrulaması için rutin sistem keşifleri.
- Astrill VPN üzerinden bağlantılar.
Kuruluşlar İçin Bir Uyarı
Uzaktan işe alım, kimlik temelli tehditler için sessiz ama güvenilir bir giriş noktası haline geldi. Saldırganlar, bireysel çalışanları hedef alarak organizasyonlarını istihdam etme sürecine dahil olmaktadırlar. Bir şirket içinde siber güvenliği artırmak için duyarlılığı artırmak oldukça önemlidir.
Bu gibi tehditlere karşı erken önlem almak, potansiyel tehlikeleri ortadan kaldırmakta ve şirketin güvenliğini sağlamaktadır.
