Güney Kore’yi Hedef Alan Gelişmiş Lazarus Saldırıları Ortaya Çıkarıldı
Kaspersky GReAT ekibi, Güney Kore’de faaliyet gösteren çeşitli kuruluşları hedef alan oldukça sofistike yeni bir Lazarus saldırı kampanyasını gün yüzüne çıkardı. Bu kampanyada, üçüncü taraf yazılımlardaki güvenlik açıklarından faydalanma ve watering hole (su havuzu) saldırı teknikleri bir araya getirilerek, hedeflere yönelik ciddi tehditler oluşturuldu. Ayrıca, araştırma sırasında, Güney Kore’de yaygın olarak kullanılan Innorix Agent adlı yazılımda yeni bir sıfırıncı gün (zero-day) güvenlik açığı tespit edilerek hemen yamalandı. Bu gelişmeler, Lazarus’un Güney Kore’nin karmaşık yazılım ekosistemini derinlemesine anlaması ve buna göre çok aşamalı saldırı stratejileri geliştirmesi konusunda önemli ipuçları sunuyor.
Hedeflenen Sektörler ve Saldırı Kapsamı
Kaspersky’nin detaylı raporuna göre, Lazarus Grubu, Güney Kore’deki en az altı farklı kurumu hedef almış durumda. Bu kuruluşlar, yazılım, bilişim teknolojileri (BT), finans, yarı iletken ve telekomünikasyon sektörlerinde faaliyet gösteren önemli isimler. Ancak, araştırmacılar bu sayının çok daha yüksek olabileceğine dikkat çekiyor. Kampanya, en az 2009 yılından beri aktif olan Lazarus’un, geniş kaynaklara sahip ve saldırı teknikleri konusunda uzman bir aktör olduğunu gösteriyor. En yeni saldırı örneğinde, grup, özellikle üçüncü taraf uygulamalarda bulunan ve güvenliği zayıf olan yazılımlardaki açıkları kullanarak iç ağlara sızmakta usta olduğunu kanıtladı.
Güvenlik Açıkları ve Zararlı Yazılım Dağıtımı
Kaspersky uzmanları, Innorix Agent yazılımında tespit ettikleri sıfırıncı gün açığının detaylarını paylaştı. Bu açık, saldırganların yanal hareket (lateral movement) gerçekleştirmelerini kolaylaştırmak ve hedef alınan sistemlere kötü amaçlı kod yüklemek için kullanıldı. Saldırganlar, bu açık aracılığıyla ThreatNeedle ve LPEClient gibi Lazarus imzalı zararlı yazılımların dağıtımını sağladı. Ayrıca, bu açık, Agamemnon isimli indiriciyi kullanarak daha büyük ve karmaşık saldırı zincirlerinin parçası haline geldi. Özellikle, Innorix Agent’in 9.2.18.496 sürümündeki açık, hızlıca yamalanarak sistemlerin güvenliğini artırdı. Bu süreçte, Kaspersky, bu açıkla ilgilendi ve KrCERT ile yazılım üreticisine durumu bildirdi. Yamalar ve güncellemeler ile güvenlik açığı giderildi ve KVE-2025-0014 kodu ile tanımlandı.
Derinlemesine Zararlı Yazılım Analizi ve Yeni Güvenlik Açığı
GReAT araştırmacıları, zararlı yazılım davranışlarını incelerken, saldırganların kullanmadan önce keşfettiği başka bir rastgele dosya indirme sıfır gün açığını da fark etti. Bu kritik güvenlik açığı, özellikle Güney Kore’nin internet ortamındaki savunmasız noktalarını hedef alıyordu. Kaspersky, bu açık ve ilişkili zararlı yazılımı, Güney Kore Ulusal Siber Güvenlik Kurumu (KrCERT) ve yazılım satıcılarına rapor etti. O zamandan beri, yazılım üreticileri, bu açığı yamayarak sistemleri koruma altına aldı. Kuznetsov, konu hakkında şu yorumu yaptı: “Siber güvenliğe proaktif yaklaşım şarttır. Derinlemesine analizlerimiz, bilinmeyen güvenlik açıklarını ortaya çıkarmada büyük rol oynuyor. Bu sayede, saldırıların erken tespiti ve önlenmesi mümkün hale geliyor.”
Önceki Bulgular ve Saldırı Vektörleri
İlk etapta, Kaspersky uzmanları, Güney Kore’ye yönelik daha önceki saldırı damgası taşıyan ThreatNeedle ve SIGNBT arka kapısının varyantlarını tespit etti. Zararlı yazılım, meşru bir Windows işlemi olan SyncHost.exe içinde çalışıyordu ve, aslında meşru bir Güney Kore yazılımı olan Cross EX‘in alt işlemi olarak tasarlanmıştı. Analizler gösterdi ki, bu saldırıların temelinde, Cross EX’te tespit edilen ve güvenlik açığı bulunan bir zafiyet yatıyordu, bu da saldırıların başlangıç noktası olmuştu. KrCERT tarafından yapılan güncel güvenlik danışmanlığı, bu güvenlik açığının yamalandığını doğruladı. Kuznetsov, bu konudaki görüşlerini şu sözlerle açıkladı: “Üçüncü taraf tarayıcı eklentileri ve yardımcı araçlar, özellikle bölgeye özgü veya eski yazılımların kullanıldığı ortamlar, saldırı yüzeyini önemli ölçüde artırıyor. Bu bileşenler yüksek ayrıcalıkla çalışabiliyor ve tarayıcı süreçleriyle derin entegrasyon sağlıyor. Bu durum, saldırganların işini kolaylaştırırken, modern tarayıcıların kendilerine göre daha savunmasız hale gelmesine neden oluyor.”
SyncHole Operasyonunun İşleyişi ve Saldırı Yöntemleri
Lazarus Grubu, saldırılarını genellikle çok sayıda ziyaretçi tarafından erişilen ve güvenliği zayıf olan medyasal web sitelerini yem olarak kullanarak gerçekleştiriyor. Bu saldırı yöntemi, watering hole (su havuzu) saldırıları olarak biliniyor. Saldırganlar, bu siteleri hedefliyor ve, ziyaretçilerin ilgisini çekecek şekilde, onları kontrol ettikleri başka sitelere yönlendiriyor. Bu sayede, saldırı zincirini başlatıyorlar. Kullanılan yöntemde, hedef alınan kişiler, özel hazırlanmış yönlendirilmiş sayfalara yönlendirilerek, zararlı içeriklerle karşılaşıyorlar. Bu yolla, saldırganlar, sistemlere sızıp, gizlice kontrolü ele geçiriyorlar.
Güncel kampanyanın detaylarına ulaşmak ve daha fazla bilgi edinmek isteyenler, Securelist.com adresini ziyaret edebilirler.
Kaspersky Ürünleri ve Tehdit Tanımlamaları
Kaspersky’nin güvenlik ürünleri, bu saldırı ve kullanılan açıklar hakkında şu isimlerle tespit ve engellemektedir: Trojan.Win64.Lazarus.*, Trojan.Win32.Lazarus.*, MEM:Trojan.Win32.Cometer.gen, MEM:Trojan.Win32.SEPEH.gen, Trojan.Win32.Manuscrypt.*, Trojan.Win64.Manuscrypt.*, Trojan.Win32.Zenpak.*. Bu tanımlar, tehditlerin tespiti ve önlenmesi açısından büyük önem taşıyor.
Güvenlik Tavsiyeleri ve Korunma Yöntemleri
- Güvenlik açıklarını ve zayıf noktaları kapatmak adına, kullandığınız tüm cihazlardaki yazılımları düzenli ve güncel tutun.
- Ağlarınızda ve varlıklarınızda kapsamlı bir siber güvenlik denetimi gerçekleştirerek, tespit edilen açıkları hızla kapatın ve sistemi güçlendirin.
- Gelişmiş tehditlere karşı, gerçek zamanlı koruma, tehdit görünürlüğü, EDR ve XDR gibi teknolojileri içeren Kaspersky Next ürünleriyle sistemlerinizi güçlendirin.
- İnsan kaynağınıza, kurumunuzu hedef alan siber tehditler hakkında derinlemesine eğitimler ve farkındalık çalışmaları sağlayın. Kaspersky Threat Intelligence ise, olay yönetimi ve risk değerlendirmesi konusunda zengin ve anlamlı bilgiler sunar.
Bu gelişmeler, siber güvenlik alanında yeni tehditlere karşı hazırlıklı olmanın önemini bir kez daha ortaya koyuyor. Güncel ve güçlü savunma mekanizmalarıyla sistemlerinizi koruyabilir, olası saldırılara karşı önlemler alabilirsiniz.
