Gelişmiş kalıcı tehdit (APT) aktörlerinden birisi olan Lazarus, yöntemlerini sürekli olarak geliştiriyor. Siber güvenlik ve dijital gizlilik şirketi olan Kaspersky, Lazarus’un tedarik zinciri saldırı yeteneklerini geliştirdiğine ve siber casusluk faaliyetlerinde çok platformlu MATA çerçevesini kullandığına tanık oldu.

Büyük ölçekli siber casusluk ve fidye yazılımı kampanyalarının arkasında yer alan gelişmiş kalıcı tehdit aktörlerinden birisi olan Lazarus’un, savunma endüstrisine ve kripto para piyasasına saldırdığı tespit edildi. Eline yeni gelişmiş araçlar geçiren grup, bunları yeni hedeflere uygulamayı seçmiş gibi görünüyor.

Haziran 2021’de Kaspersky araştırmacıları, Lazarus grubunun Windows, Linux ve macOS olmak üzere üç işletim sistemini hedefleyebilen MATA kötü amaçlı yazılım çerçevesini kullanarak savunma endüstrisine saldırdığını gözlemledi. Lazarus, daha önce MATA’yı müşteri veritabanlarını çalmak ve fidye yazılımı yaymak gibi siber suçlar için çeşitli endüstrilere saldırmak için kullanmıştı. Ancak, bu kez Kaspersky araştırmacıları Lazarus’u siber casusluk amacıyla MATA kullanırken izlediler. Lazarus, seçtiği kurbanlar tarafından kullanıldığı bilinen bir uygulamanın Truva atı eklenmiş bir versiyonunu teslim etti. Lazarus grubu savunma endüstrisine ilk kez de saldırmıyor. Önceki ThreatNeedle kampanyaları 2020’nin ortalarında benzer bir şekilde gerçekleştirilmişti.

Lazarus ayrıca daha önce ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından bildirilen kötü amaçlı yazılım BLINDINGCAN’ın biraz güncellenmiş bir varyantı olan güncellenmiş bir DeathNote kümesiyle, yeteneklerine tedarik zinciri saldırılarını eklerken görüldü. Kaspersky araştırmacıları, Güney Koreli bir düşünce kuruluşunu ve BT varlık izleme çözümü satıcısını hedefleyen yeni kampanyalar keşfetti. Kaspersky araştırmacıları tarafından keşfedilen ilk durumda Lazarus, kötü amaçlı yük dağıtan meşru Güney Kore güvenlik yazılımından kaynaklanan bir enfeksiyon zinciri geliştirdi. İkinci durumda ise hedef Letonya’da varlık izleme çözümleri geliştiren bir şirketti. Enfeksiyon zincirinin bir parçası olarak Lazarus, çalıntı bir sertifika kullanarak imzaladıkları “Racket” adlı bir indiriciden yardım aldı. Aktör savunmasız web sunucularını tehlikeye attı ve başarıyla ihlal edilen makinelerdeki kötü amaçlı implantları filtrelemek ve kontrol etmek için birkaç komut dosyası yükledi.

Bu son gelişmelerin iki şeyi vurguladığını dile getiren Kaspersky Küresel Araştırma ve Analiz Ekibi Güvenlik Araştırmacısı Ariel Jungheit, “Lazarus savunma sanayiyle ilgilenmeye devam ederken, aynı zamanda tedarik zinciri saldırılarıyla yeteneklerini genişletmenin peşinde. Tedarik zinciri saldırıları kullanılarak görülen tek grup bu Lazarus değil. Geçtiğimiz çeyrekte SmudgeX ve BountyGlad tarafından gerçekleştirilen bu tür saldırıları da izledik. Başarılı olmaları halinde tedarik zinciri saldırıları yıkıcı sonuçlara neden olabilir. Geçen yıl SolarWinds saldırısında da açıkça gördüğümüz üzere birden fazla kuruluşu etkiler. Tehdit aktörleri bu tür yeteneklere yatırım yaparken, bizler de tetikte kalmalı ve savunma çabalarını bu cepheye odaklamalıyız.” dedi.