Kaspersky'den "gelişmiş kalıcı tehdit aktörü Lazarus, saldırı yeteneklerini geliştiriyor" tespiti

Kaspersky'den "gelişmiş kalıcı tehdit aktörü Lazarus, saldırı yeteneklerini geliştiriyor" tespiti

Kaspersky Küresel Araştırma ve Analiz Ekibi Kıdemli Güvenlik Araştırmacısı Ariel Jungheit: "Lazarus savunma sanayiyle ilgilenmeye devam ederken, aynı zamanda tedarik zinciri saldırılarıyla yeteneklerini genişletmenin peşinde"

Kaspersky araştırmacıları, gelişmiş kalıcı tehdit (APT) aktörü olan Lazarus'un tedarik zinciri saldırı yeteneklerini geliştirdiğini ve siber casusluk faaliyetlerinde çok platformlu MATA çerçevesini kullandığını belirledi.

Şirket açıklamasına göre, APT aktörleri yöntemlerini sürekli olarak geliştiriyor. Bazıları stratejilerinde tutarlı kalmayı tercih ederken, diğerleri yeni teknikleri, taktikleri ve prosedürleri benimsiyor. Dünyanın dört bir yanındaki diğer APT trendlerine Kaspersky'nin son 3 aylık tehdit istihbaratı raporunda yer verildi.

Kaspersky araştırmacıları, son derece üretken bir gelişmiş tehdit aktörü olan Lazarus'un tedarik zinciri saldırı yeteneklerini geliştirdiğine ve siber casusluk faaliyetlerinde çok platformlu MATA çerçevesini kullandığına tanık oldu. Lazarus dünyanın en aktif tehdit aktörlerinden biri ve en az 2009'dan beri aktif durumda. Bu APT grubu büyük ölçekli siber casusluk ve fidye yazılımı kampanyalarının arkasında yer aldı, savunma endüstrisine ve kripto para piyasasına saldırdığı tespit edildi.

Haziran 2021'de Kaspersky araştırmacıları, Lazarus grubunun Windows, Linux ve macOS olmak üzere üç işletim sistemini hedefleyebilen MATA kötü amaçlı yazılım çerçevesini kullanarak savunma endüstrisine saldırdığını gözlemledi. Lazarus, daha önce MATA'yı müşteri veritabanlarını çalmak ve fidye yazılımı yaymak gibi siber suçlar için çeşitli endüstrilere saldırmak için kullanmıştı. Ancak, bu kez Kaspersky araştırmacıları Lazarus'u siber casusluk amacıyla MATA kullanırken izledi. Aktör, seçtikleri kurbanlar tarafından kullanıldığı bilinen bir uygulamanın Truva atı eklenmiş bir versiyonunu teslim etti. Lazarus grubu savunma endüstrisine ilk kez de saldırmıyor. Önceki ThreatNeedle kampanyaları 2020'nin ortalarında benzer bir şekilde gerçekleştirilmişti.

Lazarus ayrıca daha önce ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından bildirilen kötü amaçlı yazılım BLINDINGCAN'ın biraz güncellenmiş bir varyantı olan güncellenmiş bir DeathNote kümesiyle, yeteneklerine tedarik zinciri saldırılarını eklerken görüldü. Kaspersky araştırmacıları, Güney Koreli bir düşünce kuruluşunu ve bilgi teknolojileri varlık izleme çözümü satıcısını hedefleyen yeni kampanyalar keşfetti. Kaspersky araştırmacıları tarafından keşfedilen ilk durumda Lazarus, kötü amaçlı yük dağıtan meşru Güney Kore güvenlik yazılımından kaynaklanan bir enfeksiyon zinciri geliştirdi. İkinci durumda ise hedef Letonya'da varlık izleme çözümleri geliştiren bir şirketti, Bu Lazarus için alışılmadık bir kurbandı. Enfeksiyon zincirinin bir parçası olarak Lazarus, çalıntı bir sertifika kullanarak imzaladıkları "Racket" adlı bir indiriciden yardım aldı. Aktör savunmasız web sunucularını tehlikeye attı ve başarıyla ihlal edilen makinelerdeki kötü amaçlı implantları filtrelemek ve kontrol etmek için birkaç komut dosyası yükledi.

"Ekibinize güvenlik farkındalığı eğitimi verin"

Açıklamada görüşlerine yer verilen Kaspersky Küresel Araştırma ve Analiz Ekibi Kıdemli Güvenlik Araştırmacısı Ariel Jungheit, "Bu son gelişmeler iki şeyi vurguluyor. Lazarus savunma sanayiyle ilgilenmeye devam ederken, aynı zamanda tedarik zinciri saldırılarıyla yeteneklerini genişletmenin peşinde. Tedarik zinciri saldırıları kullanılarak görülen tek grup bu Lazarus değil. Geçtiğimiz çeyrekte SmudgeX ve BountyGlad tarafından gerçekleştirilen bu tür saldırıları da izledik. Başarılı olmaları halinde tedarik zinciri saldırıları yıkıcı sonuçlara neden olabilir. Geçen yıl SolarWinds saldırısında da açıkça gördüğümüz üzere birden fazla kuruluşu etkiler. Tehdit aktörleri bu tür yeteneklere yatırım yaparken, bizler de tetikte kalmalı ve savunma çabalarını bu cepheye odaklamalıyız." ifadelerini kullandı.

Kaspersky araştırmacıları, bilinen veya bilinmeyen tehdit aktörlerinin hedefli saldırısına kurban gitmemek için şunları öneriyor:

"SOC ekibinizin en son tehdit istihbaratına (TI) erişimini sağlayın. Kaspersky Threat Intelligence Portal, Kaspersky tarafından 20 yılı aşkın bir süredir toplanan siber saldırı verilerini ve içgörülerini sağlayan tehdit istihbaratı için tek erişim noktasıdır. Kullanıcıların dosyaları, URL'leri ve IP adreslerini kontrol etmelerini sağlayan seçilmiş özelliklere ücretsiz erişim burada mevcuttur. GReAT uzmanları tarafından geliştirilen Kaspersky çevrimiçi eğitimi ile siber güvenlik ekibinizi en son hedeflenen tehditlerle başa çıkmak için geliştirin.

Uç nokta algılama, araştırma ve olaylara zamanında müdahale için Kaspersky Endpoint Detection and Response gibi EDR çözümlerini kullanın. Temel uç nokta korumasını benimsemenin yanı sıra, Kaspersky Anti Targeted Attack Platform gibi ağ düzeyindeki gelişmiş tehditleri erken aşamada algılayan kurumsal düzeyde bir güvenlik çözümü uygulayın. Birçok hedefli saldırı kimlik avı veya diğer sosyal mühendislik teknikleriyle başladığından, ekibinize güvenlik farkındalığı eğitimi verin ve pratik becerileri öğretin. Bunu Kaspersky Automated Security Awareness Platform aracılığıyla yapabilirsiniz."

BİLİM-TEKNOLOJİ Haberleri

HÜRJET'in ikinci prototipi yeni boyasıyla gökyüzüne havalandı
Kaspersky, perakende odaklı siber tehditlerde artış tespit etti
Bayraktar TB3, TCG Anadolu'ya ilk kalkış ve inişini başarıyla tamamladı
Yapay zeka destekli sistemlerle yol güvenliğini artırmak mümkün
Elon Musk, OpenAI'ya karşı açtığı davaya Microsoft'u da dahil etti