Kaspersky araştırmacıları, tehdit grubu Lazarus'un, AppleJeus kripto para birimi saldırısını bir üst düzeye taşıdığını tespit etti.
Şirket açıklamasına göre, Kaspersky Global Araştırma ve Analiz Ekibi, geçen yıl, tehdit grubu Lazarus tarafından kripto para birimi çalmak için düzenlenen AppleJeus saldırısıyla ilgili bulgularını paylaşmıştı.
Yeni elde edilen bulgular, saldırının çok daha dikkatli adımlar, gelişmiş taktikler ve prosedürlerle sürdüğünü gösteriyor. Saldırıda kullanılan vektörler arasında Telegram da yer alıyor. İngiltere, Polonya, Rusya ve Çin'de kripto para birimiyle iş yapan birçok kurum bu saldırıdan etkilendi.
Lazarus, günümüzün en aktif ve yaygın gelişmiş kalıcı tehdit (APT) gruplarından biri olarak öne çıkıyor. Bu grup, geçmişte kripto para birimleriyle ilgili kurumları hedef aldığı saldırılarla biliniyor.
Geçen yıl düzenlenen ilk AppleJeus saldırısında grup, kötü amaçlı uygulamasını dağıtmak için sahte bir kripto para birimi şirketi oluşturmuş ve potansiyel kurbanlarının güveninden yararlanmıştı.
Lazarus, bu operasyonda kendi geliştirdiği ilk macOS zararlı yazılımını kullandı. Üçüncü taraf web sitelerinden indirilen bu uygulama, bir güncellemeyle zararlı bölümleri kuruyordu. Saldırganlar, bu uygulama ile kullanıcının cihazını tamamen kontrol edip kripto para hırsızlığı yapabiliyordu.
Kaspersky araştırmacıları, devam eden operasyonda grubun saldırı taktiklerini önemli ölçüde değiştirdiğini keşfetti. 2019 saldırısındaki vektörler, bazı ekstralarla birlikte 2018'dekiyle benzerlik gösterdi. Lazarus, bu sefer kripto para birimleriyle ilgili sahte web siteleri kurarak buralarda sahte kurumsal Telegram kanalları paylaştı. Zararlı yazılım da bu kanallar üzerinden dağıtıldı.
İlk AppleJeus operasyonunda olduğu gibi bu saldırı da iki aşamadan oluşuyordu. Kullanıcılar öncelikle uygulamayı indiriyor, ardından da uygulama bir sonraki parçayı bir uzak sunucudan alıp kuruyordu. Böylece saldırganlar, kalıcı bir arka kapı üzerinden cihazın kontrolünü tamamen ellerine alabiliyorlardı. Ancak bu sefer, zararlı bölüm davranış tabanlı tespit çözümlerine yakalanmamak için daha dikkatli bir şekilde sunuldu. macOS tabanlı hedeflere yönelik saldırılarda, macOS dosya indiricisine bir de kimlik doğrulama mekanizması eklendi.
Ayrıca, yazılımın geliştirilme altyapısının değiştiği ve dosyasız bir bulaştırma yönteminin kullanıldığı belirlendi. Saldırganlar, Windows kullanıcılarını hedef alırken, "Fallchill" adlı zararlı yazılımı kullanmaktan vazgeçerek yalnızca belirli kontrollerden geçebilen, spesifik sistemlerde çalışan yeni bir zararlı yazılım geliştirdi.
Bu değişiklikler, saldırganların daha dikkatli olduğunu ve tespitten kaçınmak için yeni yöntemlere başvurduğunu gösterdi.
Lazarus ayrıca, macOS zararlı yazılımında da önemli düzenlemeler yaparak bir dizi sürüm daha çıkardı.
İlk saldırıda özel bir macOS dosya indiricisi kurmak için açık kaynaklı QtBitcoinTrader adlı aracı kullanan Lazarus, ikinci AppleJeus saldırısında ise bunun için kendi kodunu kullanmaya başladı. Bu gelişmeler, bu saldırı grubunun zararlı yazılımın macOS sürümü için yeni düzenlemeler yapmaya devam edeceğini ve yapılan son tespitlerin ara sonuçları olduğunu gösteriyor.
Kaynak: AA
.
dikGAZETE.com