ESET araştırmacıları, kötü şöhretli APT grubu tarafından yapılan son etkinliği analiz ediyor: Lazarus grubu güvenlik yazılımını kurcalıyor.
ESET araştırmacıları, Lazarus Group'un özellikle Güney Koreli internet kullanıcılarını hedef alan bir kampanyasını ortaya çıkardı. Saldırganlar, yazılım tedarik zincirine alışılmadık bir manipülasyonla bulaşan kötü amaçlı bir program kullanır. Bunu yapmak için bilgisayar korsanları, WIZVERA VeraPort adlı meşru Güney Kore güvenlik yazılımını ve dijital sertifikaları kötüye kullanır. Güney Kore'de, devlet veya internet bankacılığı web sitelerini ziyaret ederken, kullanıcılardan genellikle ek güvenlik yazılımı yüklemelerinin istenmesi yaygın bir uygulamadır. ESET araştırmacıları detaylı analizlerini WeliveSecurity üzerinde yayınladılar.
“WIZVERA VeraPort, ek güvenlik yazılımı yüklemek ve yönetmek için özel bir Güney Kore uygulamasıdır. Saldırıyla ilgili soruşturmayı yürüten ESET araştırmacısı Anton Cherepanov, "Böyle bir yazılım yüklemesini başlatmak için minimum kullanıcı etkileşimi gerekiyor" diye açıklıyor. "Genellikle, bu yazılım hükümet ve bankacılık web siteleri tarafından kullanılır. Bu sitelerin bazıları için WIZVERA Veraport kurulumu zorunludur.”
Yasadışı Kod İmzalama Sertifikası
Saldırganlar, kullanılan kötü amaçlı yazılımı yaymak için yasa dışı yollardan elde edilen kod imzalama sertifikalarını kullanır. Bunlar başlangıçta Güney Koreli bir güvenlik şirketinin ABD şubesi için verilmişti. “Saldırganlar, kötü amaçlı yazılımı meşru bir yazılım olarak gizler. ESET araştırmacısı Peter Kálnai, "Kötü amaçlı programlar, yasal Güney Kore yazılımlarına benzer dosya adlarına, simgelere ve kaynaklara sahiptir" diyor, "Saldırganların bu saldırıyı gerçekleştirmesine izin veren şey, güvenliği ihlal edilmiş web sitelerinin WIZVERA VeraPort desteği ve belirli VeraPort ayarlarıyla birleşimidir."
Lazarus Grubu kampanyanın arkasında mı?
ESET uzmanları, saldırının Lazarus Group'a atfedilebileceğine dair kanıtlar buldu. Mevcut kampanya, Güney Koreli CERT'nin (KrCERT) BookCodes Operasyonu olarak adlandırdığı şeyin devamı niteliğindedir. Bu kampanya aynı zamanda APT grubuna atfedildi.
Diğer ipuçları arasında kullanılan araçların tipik özellikleri, şifreleme yöntemleri, ağ altyapısı kurulumu ve saldırının Lazarus'un faaliyet gösterdiği bilinen Güney Kore'de gerçekleşmiş olması yer alıyor.
ESET.com'un WeLiveSecurity'sinde daha fazla bilgi edinin
ESET Hakkında ESET, merkezi Bratislava'da (Slovakya) bulunan bir Avrupa şirketidir. 1987'den beri ESET, 100 milyondan fazla kullanıcının güvenli teknolojilerden yararlanmasına yardımcı olan ödüllü güvenlik yazılımı geliştirmektedir. Geniş güvenlik ürünleri portföyü, tüm büyük platformları kapsar ve dünya çapındaki işletmelere ve tüketicilere performans ile proaktif koruma arasında mükemmel bir denge sunar. Şirketin 180'den fazla ülkede küresel bir satış ağı ve Jena, San Diego, Singapur ve Buenos Aires'te ofisleri bulunmaktadır. Daha fazla bilgi için www.eset.de adresini ziyaret edin veya bizi LinkedIn, Facebook ve Twitter'da takip edin.