Malwarebytes Labs’e göre popüler Kuzey Koreli aktivist hacker grubu Lazarus, Windows Update istemcisini kötü amaçlı kod dağıtmak için kullanıyor. Hackerlar güvenlik mekanizmalarından kaçınabiliyor ve en son saldırıları için komuta ve kontrol sunucusu olarak Github’dan yararlanabiliyor.
Geçen hafta Malwarebytes İstihbarat ekibi, sahte Lockheed Martin (dünyanın en büyük ileri teknoloji ve havacılık şirketi) iş fırsatlarıyla ilgili hedef odaklı kimlik avı kampanyasında kullanılan iki yeni saldırıyı tespit etti. Lazarus’un amacı, savunma ve havacılıkta uzmanlaşmış üst düzey devlet kurumlarına sızmak ve mümkün olduğunca fazla istihbarat verisi çalmak.
Kuzey Koreli hackerların Windows Update ile malware saldırısı
Malwarebytes Labs tarafından fark edilen iki belge “Lockheed_Martin_JobOpportunities.docx” ve “Salary_Lockheed_Martin_job_opportunities_confidential.doc” ismindeydi. Adlarından da anlaşılacağı gibi bu belgelerin her ikisi de, hedefindeki isimleri Lockheed Martin’deki yeni iş fırsatlarına yem ediyor gibi görünüyor.
Lazarus ekibinin Word belgelerine bir dizi kötü amaçlı komut yerleştirdiği ve komut etkinleştirildikten sonra sisteme sızmaya başladığı dile getirildi. Ancak ilginç bir şekilde sızma komutlarının bir kısmı, kötü amaçlı DLL yüklemek için Windows Update istemcisini kullanıyordu. Bu teknik, güvenlik algılama sistemlerinden kaçınabildiği için çok akıllıca görünüyor.
Saldırı yöntemi yeni olsa da alışılagelmiş kimlik avı stratejilerinden biri değil. Bu, Lazarus’un bir yılı aşkın süredir kullandığı, “Dream Job” (Hayalimdeki Meslek) operasyonu olarak bilinen stratejinin aynısı. Bu saldırı yöntemi, hükümet çalışanlarını çok imrenilen bir iş için kalifiye olabileceklerini düşünmeye sevk ediyor, ancak başvurular, sahte dosyadaki komutlar sayesinde iş istasyonlarından hassas verilerin çalınmasıyla sonuçlanıyor.
Malwarebytes, ESET ve MacAfee dahil olmak üzere birtakım güvenlik ekibi yeni hamlesi için Kuzey Koreli grup Lazarus’u dikkatle izliyor. Saldırganların önceki operasyonu, İsrail de dahil olmak üzere küresel ölçekte düzinelerce şirket ve kuruluşa sızdığı için büyük bir başarıyla sonuçlanmıştı.
Bunlar kuzey koreli değiller. Bu topluluk trabzon merkezli trabzonlu lazların ve oraya uzun zaman önce göç eden rusların sentezinden oluşan LAZarus grubu. Adı üstünde.