Kaspersky, kısa süre önce Lazarus siber saldırı grubuna ait kümelerden biri olan DeathNote’u gözlem altına aldı.
2019 yılında dünya genelinde kripto parayla ilgili şirketlere yönelik saldırılarla işe başlayan DeathNote, yıllar içinde büyük bir dönüşüm geçirdi. 2022’nin sonunda grup, Avrupa, Latin Amerika, Güney Kore ve Afrika’daki BT ve savunma şirketlerini etkileyen hedefli saldırıların sorumlusu haline geldi.
Kaspersky’nin son raporu, DeathNote’un hedeflerindeki değişimin yanı sıra son dört yılda araçlarındaki, tekniklerindeki ve prosedürlerindeki gelişimi ve iyileştirmeyi gözler önüne seriyor.
Kaspersky, DeathNote’u İnceliyor
Kaspersky, kısa süre önce Lazarus siber saldırı grubuna ait kümelerden biri olan DeathNote’u gözlem altına aldı.
Kötü şöhretliyle bilinen tehdit aktörü Lazarus, uzun süredir ısrarla kripto para ile ilgili işletmeleri hedef alıyor. Kaspersky, bu tehdit aktörünün faaliyetlerini izlerken, bir vakada önemli ölçüde değiştirilmiş bir kötü amaçlı yazılımın kullanıldığını fark etti.
Kaspersky uzmanları, Ekim 2019’da VirusTotal’e yüklenen şüpheli bir belgeyle karşılaştı. Buna göre kötü amaçlı yazılım hazırlayan kişi, kripto para birimiyle ilgili sahte belgeleri devreye sokmuştu. Bunlar arasında belirli bir kripto para biriminin satın alınmasıyla ilgili bir anket, belirli bir kripto para birimine giriş için kılavuzlar ve Bitcoin madencilik şirketine giriş bilgileri yer alıyordu. DeathNote kampanyası ilk kez Kıbrıs, Amerika Birleşik Devletleri, Tayvan ve Hong Kong’da kripto para birimiyle ilgilenen kişileri ve şirketleri hedef aldı.
Bununla birlikte Kaspersky, Nisan 2020’de DeathNote’un bulaşma vektörlerinde önemli bir değişim gözlemledi. Araştırmalar, DeathNote kümesinin Doğu Avrupa’da savunma sanayiiyle bağlantılı otomotiv şirketlerini ve akademik kuruluşları hedef aldığını gösteriyordu. Bu sırada tehdit aktörü, savunma sanayi müteahhitlerinden ve diplomatik bağlantılardan gelen iş tanımlarıyla ilgili dokümanları sahteleriyle değiştirmekle meşguldü. Bunun yanı sıra her biri silah haline dönüştürülmüş belgeler, uzaktan şablon enjeksiyon tekniğiyle bulaşma zincirine dahil edilen ve Truva atı özelliği taşıyan açık kaynaklı PDF görüntüleyici yazılımıyla destekleniyor ve saldırı daha güçlü hale getiriliyordu. Söz konusu bulaşma yöntemlerinin her ikisi de kurbanın bilgilerini sızdırmaktan sorumlu olan DeathNote downloader yazılımının yüklenmesiyle sonuçlanıyordu.
Mayıs 2021’de Kaspersky, Avrupa’daki ağ cihazı ve sunucu izleme çözümleri sunan bir BT şirketinin DeathNote kümesi tarafından ele geçirildiğini fark etti. Ayrıca Haziran 2021’in başlarında Lazarus alt grubu Güney Kore’deki hedeflere bulaşmak için yeni bir mekanizma kullanmaya başladı. Burada araştırmacıların dikkatini çeken şey, kötü amaçlı yazılımın ilk aşamasının Güney Kore’de güvenlik için yaygın olarak kullanılan meşru bir yazılım tarafından yürütülmesiydi.
Bu makale yatırım tavsiyesi veya önerisi içermemektedir. Her yatırım ve alım satım hareketi risk içerir ve okuyucular karar verirken kendi araştırmalarını yapmalıdır.
