Kriptopara yine Lazarus’un Hedefinde

Siber tehditler konusuna aşina olanların Lazarus APT grubunun finans kuruluşlarına, özellikle de kriptopara borsasına saldırılarını duymamış olma ihtimali çok düşük. Sürekli geliştirdikleri taktikler, teknikler ve tespit edilmekten kaçınmak için  buldukları yöntemler ile maddi kazanç sağlamak Lazarus’un ana hedefi olmaya devam ediyor.

2018 yılının ortalarında yayınlanan Operation Applejeus araştırması ile Lazarus’un kriptopara alım satım işlemlerine yönelik arka kapılı bir ürüne sahip sahte bir şirket ile kriptopara borsalarını hedeflediği açığa çıkartılmıştı. Rapordaki önemli bulgulardan biri ise Lazarus grubunun yeni bir teknik ile macOS sistemleri hedef alabilmesi olmuştu.

Grubun finans sektörünü hedefleyen faaliyetlerinin izlenmesi sonucu, Kasım 2018’den beri aktif olan ve Windows sistemlerini kontrol etmek için PowerShell, Apple kullanıcıları için ise bir macOS zararlı yazılımı kullandığı ortaya çıktı.

Lazarus, spesifik iç standartlar ve protokoller ile arka kapılar geliştirmek veya tespit edilen zararlıların yedekleri ile değiştirilmesi gibi örnekler ile gösterdi ki; dersine çok iyi çalışıyor. Yeni yaşanan olayda da durum farklı değil; komuta sunucuları ile iletişim kuran ve saldırganın verdiği komutları yürüten özel PowerShell komut dosyaları geliştirdikleri tespit edildi. Komuta sunucusu komut dosyalarının isimleri, popüler açık kaynak kodlu projelerin yanı sıra WordPress dosyalarının isimleri verilerek gizlendi.

Sunucu ile kötü amaçlı yazılım kontrol oturumunu kurduktan sonra, kötü amaçlı yazılım şunları yapabiliyor:

  • Komuta sunucusu ile kurulan bağlantılar arasında uyuma
  • Zararlı yazılımdan çıkış
  • Hedef sistem hakkında bilgi toplama
  • Zararlı yazılım durumunu kontrol etme
  • Mevcut zararlı yazılım yapılandırmasını gösterme
  • Zararlı yazılım yapılandırmasını güncelleme
  • Sistem komut satırında komut çalıştırma
  • Dosya indirme ve yükleme

Bu saldırıda kullanılan zararlı yazılımın özellikle kriptopara profesyonellerinin dikkatini çekecek şekilde hazırlanmış dökümanlar vasıtasıyla yayıldığı ve “Girişim şirketinin iş planı değerlendirmesi için örnek belge” isimli bir belgenin kullanıldığı ortaya çıkartılmış.

Lazarus’un tespitlerden kaçınmak için sürekli yeni yöntemler geliştirdiği bu saldırı ile de görülebildi. Apple ürünlerinin sürekli artan popülaritesi ise bu gruba ait macOS zararlı yazılımının ortaya çıkmasına neden oldu. Araştırmacılar daha önce yaşanan Lazarus olaylarına dayanarak, eninde sonunda saldırıların macOS’a sıçrayacağı konusunda uyarılarda bulunmuştu.

Hangi önlemler alınabilir?

İster Windows ister macOS kullanıcısı olun, Lazarus’un kurbanı olmamak için çok dikkatli olmak gerekiyor.

  • Özellikle kriptopara veya teknolojik girişim sektöründeyseniz yeni üçüncü şahıslarla iş yaparken veya sisteminize yazılım yüklerken daha dikkatli olun.
  • Yeni bir yazılım yükleyecekseniz bir anti-virüs ile kontrol edin veya en azından VirusTotal gibi popüler ücretsiz virüs tarama hizmetlerini kullanın.
  • Yeni veya güvenilmeyen kaynaklardan alınan Microsoft Office belgelerinde asla ‘İçeriği Etkinleştir’ (makro komut dosyası) kullanmayın.
  • Yeni uygulamaları denemeniz gerekiyorsa, bunu çevrimdışı olarak veya birkaç tıklamayla silebileceğiniz yalıtılmış bir sanal ağ makinesinde yapın.

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*