APT Group Lazarus, Savunma Şirketlerini Hedef Aldı. Kötü amaçlı yazılım 'ThreatNeedle', İnternet erişimi olmayan kısıtlı ağlara da saldırır.
Kaspersky araştırmacıları, gelişmiş tehdit aktörü Lazarus'un daha önce bilinmeyen yeni bir kampanyasını belirledi. 2020 yılı başından itibaren özel arka kapı 'ThreatNeedle' ile savunma sanayi firmalarını hedefliyor. Arka kapı, virüs bulaşmış ağlarda yatay olarak hareket eder ve hassas bilgileri toplar. Lazarus, hem BT hem de kısıtlanmış ağlardan veri çalabilir.
Lazarus Grubu 2009'dan beri aktif
Lazarus, en az 2009'dan beri aktif olan üretken bir tehdit aktörüdür. Grup, büyük ölçekli siber casusluk ve fidye yazılımı kampanyalarının yanı sıra kripto para piyasasına yönelik saldırılarıyla tanınır. Güncel saldırılar da Covid-19 ve aşı araştırmalarıyla bağlantılı olarak tespit edildi. Lazarus önceki yıllarda finansal kurumlara odaklanırken, 2020'nin başından itibaren savunma sanayii faaliyetlerin odak noktası olmuş görünüyor.
Arka kapı olayı ThreatNeedle'ı ifşa ediyor
Kaspersky araştırmacıları, bu yeni kampanyadan ilk olarak bir olay müdahalesini desteklemek üzere çağrıldıklarında haberdar oldular. Analiz üzerine, kuruluşun, cihazın tamamen uzaktan kontrol edilmesini sağlayan bir tür kötü amaçlı yazılım olan özel bir arka kapının kurbanı olduğu ortaya çıktı. ThreatNeedle olarak adlandırılan bu arka kapı, virüslü ağlarda yatay olarak hareket eder ve hassas bilgileri alır. Şimdiye kadar bir düzineden fazla ülkedeki kuruluşlar etkilendi. Kaspersky, saldırganın altyapısına bağlanan Avrupa, Kuzey Amerika, Orta Doğu ve Asya'dan çok sayıda ana bilgisayar keşfetti.
ThreatNeedle'ın enfeksiyon şeması ve yaklaşımı
İlk bulaşma, kötü amaçlı bir Word eki veya kurumsal sunucularda barındırılan bir bağlantı içeren hedef odaklı kimlik avı e-postaları aracılığıyla gerçekleşir. Genellikle koronavirüs pandemisiyle ilgili acil güncellemeler kılığına giren e-postaların, iddiaya göre saygın bir tıp merkezinden geldiği iddia ediliyor.
Kötü amaçlı belge açılırsa, kötü amaçlı yazılım yürütülür ve teslim sürecinin bir sonraki aşamasına geçer. Kullanılan ThreatNeedle kötü amaçlı yazılımı, Lazarus grubuna atfedilen ve daha önce kripto para şirketlerine yönelik saldırılarda kullanılan 'Manuscrypt' kötü amaçlı yazılım ailesine aittir. ThreatNeedle yüklendikten sonra, dosyaları düzenlemekten alınan komutları yürütmeye kadar kurbanın cihazı üzerinde tam kontrol sahibi olur.
Ofis BT ağlarından veri hırsızlığı
Lazarus, ThreatNeedle'ı kullanarak hem ofis BT ağlarından (internet erişimi olan bilgisayarlardan oluşan bir ağ) hem de kısıtlı bir tesis veya tesis ağından (iş açısından kritik kaynaklar ve internet erişimi olmayan yüksek düzeyde hassas verilere ve veritabanlarına sahip bilgisayarlardan oluşan bir ağ) veri çalabilir. . Saldırıya uğrayan şirketlerin politikalarına göre bu iki ağ arasında herhangi bir bilgi aktarımı yapılamaz. Ancak, yöneticiler sistem bakımı için her iki ağa da bağlanabilir. Lazarus, yönetici iş istasyonlarının kontrolünü ele geçirmeyi başardı ve kısıtlı ağa saldırmak ve oradan hassas verileri çalıp çıkarmak için kötü niyetli bir ağ geçidi kurdu.
Kaspersky.com'un ICS kanalında daha fazlasını okuyun
Kaspersky Hakkında Kaspersky, 1997 yılında kurulmuş uluslararası bir siber güvenlik şirketidir. Kaspersky'nin derin tehdit istihbaratı ve güvenlik uzmanlığı, dünya çapında işletmeleri, kritik altyapıları, hükümetleri ve tüketicileri korumaya yönelik yenilikçi güvenlik çözümlerinin ve hizmetlerinin temelini oluşturur. Şirketin kapsamlı güvenlik portföyü, karmaşık ve gelişen siber tehditlere karşı savunma için lider uç nokta koruması ve bir dizi özel güvenlik çözümü ve hizmeti içerir. 400 milyondan fazla kullanıcı ve 250.000 kurumsal müşteri, Kaspersky teknolojileri tarafından korunmaktadır. www.kaspersky.com/ adresinde Kaspersky hakkında daha fazla bilgi