Lazarus grubu AppleJeus kripto para birimi saldırısını üst düzeye taşıdı. Yeni bulgular, saldırının gelişmiş taktikler ve prosedürlerle sürdüğünü gösteriyor.
Kaspersky Global Araştırma ve Analiz Ekibi (GReAT) 2018’de, ünlü tehdit grubu Lazarus tarafından kripto para birimi çalmak için düzenlenen AppleJeus saldırısıyla ilgili bulgularını paylaşmıştı. Yeni elde edilen bulgular, saldırının çok daha dikkatli adımlar, gelişmiş taktikler ve prosedürlerle sürdüğünü gösteriyor. Saldırıda kullanılan vektörler arasında Telegram da yer alıyor. İngiltere, Polonya, Rusya ve Çin’de kripto para birimiyle iş yapan birçok kurum bu saldırıdan etkilendi.
Lazarus günümüzün en aktif ve yaygın gelişmiş kalıcı tehdit (APT) gruplarından biri. Bu grup geçmişte kripto para birimleriyle ilgili kurumları hedef aldığı saldırılarla biliniyor. 2018’de düzenlenen ilk AppleJeus saldırısında grup, kötü amaçlı uygulamasını dağıtmak için sahte bir kripto para birimi şirketi oluşturmuş ve potansiyel kurbanlarının güveninden yararlanmıştı. Lazarus bu operasyonda kendi geliştirdiği ilk macOS zararlı yazılımını kullandı. Üçüncü taraf web sitelerinden indirilen bu uygulama, bir güncellemeyle zararlı bölümleri kuruyordu. Saldırganlar bu uygulama ile kullanıcının cihazını tamamen kontrol edip kripto para hırsızlığı yapabiliyordu.
Kaspersky araştırmacıları devam eden operasyonda grubun saldırı taktiklerini önemli ölçüde değiştirdiğini keşfetti. 2019 saldırısındaki vektörler bazı ekstralarla birlikte bir önceki yıldakiyle benzerlik gösterdi. Lazarus bu sefer kripto para birimleriyle ilgili sahte web siteleri kurarak buralarda sahte kurumsal Telegram kanalları paylaştı. Zararlı yazılım da bu kanallar üzerinden dağıtıldı.
İlk AppleJeus operasyonunda olduğu gibi bu saldırı da iki aşamadan oluşuyordu. Kullanıcılar öncelikle uygulamayı indiriyor, ardından da uygulama bir sonraki parçayı bir uzak sunucudan alıp kuruyordu. Böylece saldırganlar kalıcı bir arka kapı üzerinden cihazın kontrolünü tamamen ellerine alabiliyorlardı. Ancak bu sefer, zararlı bölüm davranış tabanlı tespit çözümlerine yakalanmamak için daha dikkatli bir şekilde sunuldu. macOS tabanlı hedeflere yönelik saldırılarda, macOS dosya indiricisine bir de kimlik doğrulama mekanizması eklendi. Ayrıca yazılımın geliştirilme altyapısının değiştiği ve dosyasız bir bulaştırma yönteminin kullanıldığı belirlendi. Saldırganlar Windows kullanıcılarını hedef alırken Fallchill adlı zararlı yazılımı (ilk AppleJeus operasyonunda kullanılmıştı) kullanmaktan vazgeçerek yalnızca belirli kontrollerden geçebilen spesifik sistemlerde çalışan yeni bir zararlı yazılım geliştirdi. Bu değişiklikler saldırganların daha dikkatli olduğunu ve tespitten kaçınmak için yeni yöntemlere başvurduğunu gösterdi.
Lazarus ayrıca macOS zararlı yazılımında da önemli düzenlemeler yaparak bir dizi sürüm daha çıkardı. İlk saldırıda özel bir macOS dosya indiricisi kurmak için açık kaynaklı QtBitcoinTrader adlı aracı kullanan Lazarus, ikinci AppleJeus saldırısında ise bunun için kendi kodunu kullanmaya başladı. Bu gelişmeler, bu saldırı grubunun zararlı yazılımın macOS sürümü için yeni düzenlemeler yapmaya devam edeceğini ve yapılan son tespitlerin ara sonuçları olduğunu gösteriyor.
Kaspersky Güvenlik Araştırmacısı Seongsu Park, “İkinci AppleJeus operasyonu, kripto para piyasalarındaki büyük durgunluğa rağmen Lazarus’un bu alana yatırım yapmaya devam ettiğini ve saldırıları daha karmaşık hale getirdiğini gösteriyor. Zararlı yazılımda yapılan değişiklikler, bu saldırıların artarak daha da ciddi bir tehdit haline gelmeyeceğine inanmak için ortada hiçbir neden olmadığının kanıtı.” dedi.
Kuzey Kore ile ilişkili olan Lazarus grubu siber causluk ve siber sabotajın yanı sıra finansal gelir amaçlı karmaşık saldırılarıyla biliniyor. Kaspersky araştırmacıları da dahil olmak üzere çok sayıda araştırmacı bu grubun bankaları ve diğer büyük finans kuruluşlarını hedef aldığını raporladı.
Kripto alanında faaliyet gösteren ve kendini bu tür saldırılardan korumak isteyen kurumlara şu önlemleri alması tavsiye ediliyor:
- Kimlik avı saldırısı denemelerini fark etmeleri için tüm çalışanlarınıza temel güvenlik farkındalığı eğitimi verin.
- Uygulama güvenliği değerlendirmesinden geçin. Böylece potansiyel müşterilerinize ne kadar güvenilir olduğunuzu gösterebilirsiniz.
- Akıllı sözleşme uygulama ortamlarındaki yeni açıkları takip edin.
Kaspersky, kripto para birimleriyle iş yapan veya yapmayı düşünen tüketicilere şunları öneriyor:
- Yalnızca güvenilir ve bilindik kripto para birimi platformlarını kullanın.
- Sizi bir internet bankasına veya web cüzdanına yönlendiren bağlantılara tıklamayın.