İş teklifinin içinden veri hırsızlığı çıktı

ESET Research, Lazarus’un maksatlı hücumlarının uygulanmasındaki çeşitlilik, sayı ve kendine has farklılıkların bu kümenin en önemli nitelikleri olduğunun altını çizerek siber kabahat etkinliklerinin üç temel özelliğine de sahip olduğunu belirtiyor: Siber casusluk, siber sabotaj ve finansal yarar elde etme isteği.

Kötü emelli Amazon temalı evraklar içeren maksada yönelik kimlik avı e-postalarıyla başlayan ataklar, Hollanda’da bir havacılık şirketi çalışanını ve Belçika’da bir siyasi gazeteciyi maksat aldı. Saldırganların temel maksadı data hırsızlığıydı. Her iki kurbana da iş teklifleri sunuldu. Hollanda’daki çalışana LinkedIn İletileşme yoluyla bir ek gönderildi, Belçika’daki gazeteci de e-posta yoluyla bir doküman aldı. Taarruzlar bu dokümanların açılmasının akabinde başladı. Saldırganlar sisteme dropper’lar, yükleyiciler, tam özellikli HTTP(S) art kapıları dahil olmak üzere çeşitli makûs maksatlı araçlar ve HTTP(S) yükleyicileri yerleştirdi.

Saldırganların yerleştirdiği en kıymetli araç, yasal bir Dell sürücüsündeki CVE-2021-21551 güvenlik açığı nedeniyle çekirdek belleği okuma ve yazma özelliği kazanan kullanıcı modu modülüydü. Bu güvenlik açığı Dell DBUtil şoförlerini etkilediği için Dell, Mayıs 2021’de bir güvenlik güncellemesi çıkardı.

‘Sistematik olarak organize, büyük takım işi’

Düzenlenen atakları keşfeden ESET araştırmacısı Peter Kálnai, yaptığı açıklamada şunları söyledi: “Saldırganlar Windows işletim sisteminin kayıt defteri, belge sistemi, süreç oluşturma, olay izleme vb. aksiyonlarını izlemek için sunduğu yedi mekanizmayı devre dışı bırakmak için çekirdek bellek yazma erişimini kullandı. Güvenlik tahlillerini epeyce kapsamlı ve sağlam bir halde devre dışı bıraktı. Bütün bunlar, çekirdek alanının yanı sıra bir dizi küçük yahut belgelenmemiş Windows dahili öğesi kullanılarak tesirli bir formda yapıldı. Bu hücumda ve Lazarus’a atfedilen öteki birçok atakta, bir ilgi ağındaki tek bir gaye nokta üzerinde bile birçok aracın dağıtıldığını gördük. Elbet, taarruzun ardındaki grup epeyce büyük, sistematik olarak organize ve kusursuz bir halde hazırlanmış.”

Hollanda’daki hücum, şirket ağına bağlı bir Windows 10 bilgisayarını etkiledi. Bir çalışanla LinkedIn iletileşme aracılığıyla potansiyel yeni bir iş ile ilgili irtibata geçildi ve bunun sonucunda evrak eki içeren bir e-posta gönderildi. Kurbana gönderilen Amzon_Netherlands.docx Word evrakı, sırf Amazon logolu bir taslak evrak. ESET araştırmacıları bu evrakın Amazon uzay programı Project Kuiper için bir iş teklifi içerebileceğini varsayıyor.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir