Lazarus Grubu ve Malware Tehditleri
Lazarus Grubu, Kuzey Kore ile bağlantılı bir tehdit aktörüdür ve son dönemde yürüttüğü sosyal mühendislik kampanyalarıyla dikkat çekmektedir. 2024 yılında NCC Group’un Fox-IT ekipleri tarafından gözlemlenen bir saldırıda, bu grup, PondRAT, ThemeForestRAT ve RemotePE adlı üç farklı kross-platform malwareni dağıttığı tespit edilmiştir. Bu saldırılar, merkeziyetsiz finans (DeFi) alanında faaliyet gösteren bir kurumu hedef alarak, burada çalışan bir kişinin sisteminin ele geçirilmesine neden olmuştur.
Saldırı Zinciri ve Başlangıç Noktası
Saldırı zinciri, tehdit aktörlerinin bir ticaret şirketinde var olan bir çalışanı taklit ederek Telegram üzerinden iletişim başlatmasıyla başlamaktadır. Bu süreçte, Calendly ve Picktime gibi sahte web siteleri aracılığıyla mağdurlarla toplantılar ayarlanmaktadır. İlk erişim vektörü tam olarak bilinmese de, elde edilen ilk ayak, bu noktada PerfhLoader adında bir yükleyici kullanılarak PondRAT’ın dağıtılmasına olanak sağlamıstır.
PondRAT, POOLRAT olarak da bilinen daha detaylı bir varyantının hafifletilmiş bir versiyonu olarak değerlendirilmekte ve bu tür bir yazılımın kullanımı ile saldırgan, hedef ağda keşif yapabilmektedir. PondRAT, dosya okuma ve yazma, süreç başlatma ve shellcode yürütme gibi temel işlevleri desteklemektedir.
Temel Malware Bileşenleri
Saldırılar sırasında PondRAT ile birlikte gönderilen diğer araçlar arasında ekran görüntüsü yakalayıcı, tuş kaydedici, Chrome kimlik bilgisi ve çerez hırsızları, Mimikatz, ve proxy programları yer almaktadır. Bu araçlar, saldırganın hedefin sisteminde daha fazla yetki elde etmesini sağlamakta ve önemli verilerin toplanmasına zemin hazırlamaktadır.
Fox-IT’den yapılan açıklamada, PondRAT’ın 2021 yılından beri kullanıldığını ve özellikle ThemeForestRAT ile birlikte kullanıldığında daha etkili bir hale geldiği belirtilmiştir. Bu iki malware türü, yaklaşık üç ay boyunca bir arada kullanıldıktan sonra, daha sofistike olan RemotePE adındaki RAT’ın kurulmasına zemin hazırlamaktadır.
ThemeForestRAT’ın Özellikleri
ThemeForestRAT, ağ üzerindeki yeni Uzak Masaüstü (RDP) oturumlarını takip etmekte ve komut almak üzere HTTP(S) üzerinden bir C2 sunucusuna bağlanmaktadır. Bu yazılım, dosya/birlikte dosya işlemleri yapma, komut yürütme ve süreçleri üretme gibi toplamda yirmi kadar komutu yerine getirebilmektedir.
Fox-IT, ThemeForestRAT ile birlikte RomeoGolf kod adlı bir malware arasında benzerlikler olduğuna dikkat çekmiş ve bu malware’ın, 2014 yılında Sony Pictures Entertainment üzerinde gerçekleştirilen yıkıcı saldırılarda kullanıldığını vurgulamıştır.
RemotePE ve Gelişmiş Kullanım Senaryoları
RemotePE, C2 sunucusundan yüklenir ve DPAPILoader tarafından çalıştırılır. C++ ile yazılan bu malware, yüksek değerli hedefler için pek çok gelişmiş özellik sunmaktadır. Fox-IT, PondRAT’ın sınırlı esneklik sunduğunu, ama başlangıç yükü olarak görevini yerine getirdiğini belirtmiştir. Daha karmaşık görevler içinse ThemeForestRAT kullanılmakta, bu sayede saldırılar daha dikkat çekmeden gerçekleştirilmektedir.
Siber Güvenlikte Riskler ve Önlem Stratejileri
Malware tehdidi, hem bireysel kullanıcılar hem de kurumsal düzeyde büyük riskler barındırmaktadır. Kurumların, bu tür tehditlere karşı etkili birer siber güvenlik stratejisi geliştirmesi hayati önem taşımaktadır. Evet, güvenlik duvarları, antivirüs yazılımları, ve big data analitiği bu konuda yardımcı olabilir. Bunun yanı sıra, çalışanların sosyal mühendislik konusunda eğitilmesi, saldırganların girişimlerini engelleme açısından kritik bir öneme sahiptir.
Sonuç olarak, Kuzey Kore ile bağlantılı olan Lazarus Grubu’nun sürekli olarak gelişen saldırı yöntemleri, siber güvenlik alanında sürekli bir tehdit unsuru oluşturmaktadır. Bu nedenle, siber güvenlik önlemlerinin güncellenmesi ve geliştirilmesi büyük bir önem taşımaktadır.
