DOLAR
34,5742
EURO
36,2998
ALTIN
2.993,27
BIST
9.359,89
Adana Adıyaman Afyon Ağrı Aksaray Amasya Ankara Antalya Ardahan Artvin Aydın Balıkesir Bartın Batman Bayburt Bilecik Bingöl Bitlis Bolu Burdur Bursa Çanakkale Çankırı Çorum Denizli Diyarbakır Düzce Edirne Elazığ Erzincan Erzurum Eskişehir Gaziantep Giresun Gümüşhane Hakkari Hatay Iğdır Isparta İstanbul İzmir K.Maraş Karabük Karaman Kars Kastamonu Kayseri Kırıkkale Kırklareli Kırşehir Kilis Kocaeli Konya Kütahya Malatya Manisa Mardin Mersin Muğla Muş Nevşehir Niğde Ordu Osmaniye Rize Sakarya Samsun Siirt Sinop Sivas Şanlıurfa Şırnak Tekirdağ Tokat Trabzon Tunceli Uşak Van Yalova Yozgat Zonguldak
İstanbul
Yağmurlu
18°C
İstanbul
18°C
Yağmurlu
Cumartesi Az Bulutlu
9°C
Pazar Az Bulutlu
10°C
Pazartesi Hafif Yağmurlu
9°C
Salı Parçalı Bulutlu
12°C

İş teklifinin içinden veri hırsızlığı çıktı

Lazarus, veri hırsızlığı için Hollanda’da bir havacılık şirketini ve Belçika’da bir siyasi gazeteciyi hedef aldı   ESET araştırmacıları, Lazarus APT grubu tarafından 2021'in sonundaki saldırılarda kullanılan bir dizi kötü amaçlı aracı ortaya çıkararak analiz etti.

İş teklifinin içinden veri hırsızlığı çıktı
05.10.2022 11:10
303
A+
A-

Lazarus, veri hırsızlığı için Hollanda’da bir havacılık şirketini ve Belçika’da bir siyasi gazeteciyi hedef aldı

 

ESET araştırmacıları, Lazarus APT grubu tarafından 2021'in sonundaki saldırılarda kullanılan bir dizi kötü amaçlı aracı ortaya çıkararak analiz etti. 

 

ESET Research, Lazarus’un  hedefli saldırılarının uygulanmasındaki çeşitlilik, sayı ve kendine özgü farklılıkların bu grubun başlıca nitelikleri olduğunun altını çizerek siber suç etkinliklerinin üç temel özelliğine de sahip olduğunu belirtiyor: Siber casusluk, siber sabotaj ve finansal kazanç elde etme arzusu.

 

Kötü amaçlı Amazon temalı belgeler içeren hedefe yönelik kimlik avı e-postalarıyla başlayan saldırılar, Hollanda'da bir havacılık şirketi çalışanını ve Belçika'da bir siyasi gazeteciyi hedef aldı. Saldırganların temel amacı veri hırsızlığıydı.  Her iki kurbana da iş teklifleri sunuldu. Hollanda'daki çalışana LinkedIn Mesajlaşma yoluyla bir ek gönderildi, Belçika'daki gazeteci de e-posta yoluyla bir belge aldı. Saldırılar bu belgelerin açılmasının ardından başladı. Saldırganlar sisteme dropperlar, yükleyiciler, tam özellikli HTTP(S) arka kapıları dahil olmak üzere çeşitli kötü amaçlı araçlar ve HTTP(S) yükleyicileri yerleştirdi. 

 

Saldırganların yerleştirdiği en önemli araç, yasal bir Dell sürücüsündeki CVE-2021-21551 güvenlik açığı nedeniyle çekirdek belleği okuma ve yazma özelliği kazanan kullanıcı modu modülüydü. Bu güvenlik açığı Dell DBUtil sürücülerini etkilediği için Dell, Mayıs 2021'de bir güvenlik güncellemesi çıkardı. 

 

Düzenlenen saldırıları keşfeden ESET araştırmacısı Peter Kálnai yaptığı açıklamada şunları söyledi: “Saldırganlar Windows işletim sisteminin kayıt defteri, dosya sistemi, süreç oluşturma, olay izleme vb. eylemlerini izlemek için sunduğu yedi mekanizmayı devre dışı bırakmak için çekirdek bellek yazma erişimini kullandı. Güvenlik çözümlerini oldukça kapsamlı ve sağlam bir şekilde devre dışı bıraktı. Bütün bunlar, çekirdek alanının yanı sıra bir dizi küçük veya belgelenmemiş Windows dahili öğesi kullanılarak etkili bir şekilde yapıldı. Bu saldırıda ve Lazarus'a atfedilen diğer birçok saldırıda, bir ilgi ağındaki tek bir hedef nokta üzerinde bile birçok aracın dağıtıldığını gördük. Şüphesiz, saldırının arkasındaki ekip oldukça büyük, sistematik olarak organize ve mükemmel bir şekilde hazırlanmış.”

 

Hollanda'daki saldırı, şirket ağına bağlı bir Windows 10 bilgisayarını etkiledi. Bir çalışanla LinkedIn Mesajlaşma aracılığıyla potansiyel yeni bir iş ile ilgili  iletişime geçildi ve bunun sonucunda belge eki içeren bir e-posta gönderildi. Kurbana gönderilen Amzon_Netherlands.docx Word dosyası, yalnızca Amazon logolu bir taslak belge. ESET araştırmacıları bu belgenin Amazon uzay programı Project Kuiper için bir iş teklifi içerebileceğini varsayıyor. 

 

Kaynak: (BYZHA) – Beyaz Haber Ajansı