Lazarus’un DeathNote’u Mercek Altında

Kaspersky, kısa mühlet evvel Lazarus siber taarruz kümesine ilişkin kümelerden biri olan DeathNote’u müşahede altına aldı.

2019 yılında dünya genelinde kripto parayla ilgili şirketlere yönelik hücumlarla işe başlayan DeathNote, yıllar içinde büyük bir dönüşüm geçirdi. 2022’nin sonunda küme, Avrupa, Latin Amerika, Güney Kore ve Afrika’daki BT ve savunma şirketlerini etkileyen amaçlı hücumların sorumlusu haline geldi.

Kaspersky’nin son raporu, DeathNote’un gayelerindeki değişimin yanı sıra son dört yılda araçlarındaki, tekniklerindeki ve prosedürlerindeki gelişimi ve güzelleştirmeyi gözler önüne seriyor.

Kaspersky, DeathNote’u İnceliyor

Kaspersky, kısa mühlet evvel Lazarus siber atak kümesine ilişkin kümelerden biri olan DeathNote’u müşahede altına aldı. 

Kötü şöhretliyle bilinen tehdit aktörü Lazarus, uzun müddettir ısrarla kripto para ile ilgili işletmeleri gaye alıyor. Kaspersky, bu tehdit aktörünün faaliyetlerini izlerken, bir olayda kıymetli ölçüde değiştirilmiş bir berbat emelli yazılımın kullanıldığını fark etti.

Kaspersky uzmanları, Ekim 2019’da VirusTotal’e yüklenen kuşkulu bir evrakla karşılaştı. Buna nazaran makûs maksatlı yazılım hazırlayan kişi, kripto para ünitesiyle ilgili uydurma dokümanları devreye sokmuştu. Bunlar ortasında muhakkak bir kripto para ünitesinin satın alınmasıyla ilgili bir anket, belli bir kripto para ünitesine giriş için kılavuzlar ve Bitcoin madencilik şirketine giriş bilgileri yer alıyordu. DeathNote kampanyası birinci sefer Kıbrıs, Amerika Birleşik Devletleri, Tayvan ve Hong Kong’da kripto para ünitesiyle ilgilenen bireyleri ve şirketleri gaye aldı.

Bununla birlikte Kaspersky, Nisan 2020’de DeathNote’un bulaşma vektörlerinde kıymetli bir değişim gözlemledi. Araştırmalar, DeathNote kümesinin Doğu Avrupa’da savunma sanayiiyle irtibatlı otomotiv şirketlerini ve akademik kuruluşları maksat aldığını gösteriyordu. Bu sırada tehdit aktörü, savunma sanayi müteahhitlerinden ve diplomatik ilişkilerden gelen iş tarifleriyle ilgili dokümanları sahteleriyle değiştirmekle meşguldü. Bunun yanı sıra her biri silah haline dönüştürülmüş evraklar, uzaktan şablon enjeksiyon tekniğiyle bulaşma zincirine dahil edilen ve Truva atı özelliği taşıyan açık kaynaklı PDF görüntüleyici yazılımıyla destekleniyor ve atak daha güçlü hale getiriliyordu. Kelam konusu bulaşma yollarının her ikisi de kurbanın bilgilerini sızdırmaktan sorumlu olan DeathNote downloader yazılımının yüklenmesiyle sonuçlanıyordu.

Mayıs 2021’de Kaspersky, Avrupa’daki ağ aygıtı ve sunucu izleme tahlilleri sunan bir BT şirketinin DeathNote kümesi tarafından ele geçirildiğini fark etti. Ayrıyeten Haziran 2021’in başlarında Lazarus alt kümesi Güney Kore’deki amaçlara bulaşmak için yeni bir sistem kullanmaya başladı. Burada araştırmacıların dikkatini çeken şey, berbat maksatlı yazılımın birinci evresinin Güney Kore’de güvenlik için yaygın olarak kullanılan yasal bir yazılım tarafından yürütülmesiydi.