Kötü şöhretli APT aktörü Lazarus, saldırılarını genişletiyor ve şimdi Almanya ve İsviçre de dahil olmak üzere Avrupa'daki şirketleri hedefliyor. Kaspersky uzmanları, arka kapı DTrack ile iki Alman kimyasal işleme ve üretim şirketine ve bir İsviçre kimyasal işleme şirketine yönelik saldırıları tespit edebildi.
Lazarus en az 2009'dan beri faaliyet gösteriyor ve siber casusluk, siber sabotaj ve fidye yazılımı saldırılarından sorumlu tutuluyor. Başlangıçta grup, esas olarak Güney Kore merkezli bir jeopolitik gündem gibi görünen şeyi uygulamaya odaklandı. Ancak küresel hedeflere yönelmiş ve finansal kazanç için de saldırılar düzenlemeye başlamıştır.
Saldırılar şu anda Avrupa'daki şirketleri de hedefliyor. Kaspersky uzmanları, Almanya'da DTrack'in arka kapı olarak kullanıldığı iki saldırı tespit edebildi: biri kimyasal işlemede bir şirkete, diğeri ise üretimde. Ayrıca, kimyasal işlemede bir İsviçre şirketine yönelik bir saldırı tespit edilebilir.
Değiştirilmiş arka kapı DTrack
Arka kapı DTrack ilk olarak 2019'da [3] keşfedildi ve zaman içinde önemli ölçüde değişmedi. DTrack, meşru bir program gibi görünen yürütülebilir bir dosyada gizlenir. Kötü amaçlı yazılım yükü başlamadan önce şifre çözmenin birkaç aşaması vardır. Yeni olan, bazı yeni kötü amaçlı yazılım örneklerine eklenen üçüncü bir şifreleme katmanıdır.
Kaspersky analizi, Lazarus'un finansal kazanç sağlamayı amaçlayan çeşitli saldırılar için arka kapıyı kullandığını gösteriyor. Siber suçluların kurbanın ana bilgisayarına dosya yüklemesine, indirmesine, başlatmasına veya silmesine izin verir. İndirilen ve çalıştırılan dosyalardan biri, DTrack'in olağan araç setinin bir parçası olarak tespit edilmiş, bir keylogger, ekran görüntüsü oluşturucu ve kurbanın sistem bilgilerini toplamak için bir modül. Genel olarak böyle bir araç seti, siber suçluların kurbanların altyapısında bilgi almak gibi yanal hareketler gerçekleştirmesine yardımcı olabilir.
KRITIS'i, okulları, araştırmayı hedefleme
KSN telemetrisine göre DTrack Almanya, Brezilya, Hindistan, İtalya, Meksika, İsviçre, Suudi Arabistan, Türkiye ve ABD'de aktif. Lazarus böylece kurbanlarının çevresini genişletir. Hedeflenen şirketler, eğitim kurumları, kimyasal işleme şirketleri, devlet araştırma merkezleri ve devlet daireleri, BT hizmet sağlayıcıları, kamu hizmetleri ve telekomünikasyon gibi kritik altyapı parçalarını içerir.
Kaspersky'nin Küresel Araştırma ve Analiz Ekibi'nde (GReAT) güvenlik araştırmacısı olan Jornt van der Wiel, "DTrack, Lazarus tarafından hâlâ aktif olarak kullanılıyor" diye açıklıyor. "Kötü amaçlı yazılımın paketlenme biçiminde yapılan değişiklikler, Lazarus'un DTrack'e hala yüksek değer verdiğini gösteriyor. Yine de Lazarus, ilk keşfedildiği 2019 yılından bu yana pek değişmedi. Bununla birlikte, mağduriyet analizi, operasyonların Avrupa'ya yayıldığını gösteriyor ki bu, daha sık gördüğümüz bir eğilim."
Daha fazlası Kasperky.com'da
Kaspersky Hakkında Kaspersky, 1997 yılında kurulmuş uluslararası bir siber güvenlik şirketidir. Kaspersky'nin derin tehdit istihbaratı ve güvenlik uzmanlığı, dünya çapında işletmeleri, kritik altyapıları, hükümetleri ve tüketicileri korumaya yönelik yenilikçi güvenlik çözümlerinin ve hizmetlerinin temelini oluşturur. Şirketin kapsamlı güvenlik portföyü, karmaşık ve gelişen siber tehditlere karşı savunma için lider uç nokta koruması ve bir dizi özel güvenlik çözümü ve hizmeti içerir. 400 milyondan fazla kullanıcı ve 250.000 kurumsal müşteri, Kaspersky teknolojileri tarafından korunmaktadır. www.kaspersky.com/ adresinde Kaspersky hakkında daha fazla bilgi