Loading...
tr usd
USD
0.14%
Amerikan Doları
35,21 TRY
tr euro
EURO
0.12%
Euro
36,72 TRY
tr chf
CHF
-0.26%
İsviçre Frangı
39,03 TRY
tr cny
CNY
0.18%
Çin Yuanı
4,83 TRY
tr gbp
GBP
0.26%
İngiliz Sterlini
44,32 TRY
bist-100
BIST
0.77%
Bist 100
10.025,47 TRY
gau
GR. ALTIN
-0.47%
Gram Altın
2.964,05 TRY
btc
BTC
-1.27%
Bitcoin
94.571,18 USDT
eth
ETH
0.56%
Ethereum
3.353,84 USDT
bch
BCH
2%
Bitcoin Cash
446,13 USDT
xrp
XRP
0.82%
Ripple
2,17 USDT
ltc
LTC
0.59%
Litecoin
102,84 USDT
bnb
BNB
0.72%
Binance Coin
694,34 USDT
sol
SOL
-0.81%
Solana
186,91 USDT
avax
AVAX
0.13%
Avalanche
37,38 USDT
  1. Haberler
  2. Teknoloji
  3. Kaspersky, Lazarus APT’nin nükleer kuruluşları hedef alan yeni CookiePlus kötü amaçlı yazılımını keşfetti

Kaspersky, Lazarus APT’nin nükleer kuruluşları hedef alan yeni CookiePlus kötü amaçlı yazılımını keşfetti

featured
kaspersky-lazarus-aptnin-nukleer-kuruluslari-hedef-alan-yeni-cookieplus-kotu-amacli-yazilimini-kesfetti.jpg
service
Paylaş

Bu Yazıyı Paylaş

veya linki kopyala

Kaspersky’nin Küresel Araştırma ve Analiz Ekibi (GReAT) tarafından yapılan açıklamaya göre, Lazarus’un “Operation DreamJob” adı verilen önemli operasyonu, beş yılı aşkın süredir devam eden yeni ve sofistike taktiklerle evrilmeye devam ediyor. Son hedefler arasında, nükleer alanla ilgili bir kuruluşun çalışanları bulunuyor. Bu kişiler, IT profesyonelleri için hazırlanan yetenek değerlendirme testleri gibi görünen, tehlikeli hale getirilmiş üç farklı arşiv dosyası aracılığıyla enfekte edildi. Süregelen bu kampanya, yeni keşfedilen ve açık kaynaklı bir eklenti gibi gizlenen CookiePlus adlı modüler bir arka kapı yazılımı da dahil olmak üzere, gelişmiş kötü amaçlı yazılımlar kullanıyor.

 

Kaspersky’nin Küresel Araştırma ve Analiz Ekibi (GReAT), kötü şöhretli Lazarus grubuyla bağlantılı olan ve “DeathNote” olarak da bilinen Operation DreamJob ile ilişkili yeni bir kampanya keşfetti. İlk olarak 2019 yılında ortaya çıkan ve dünya genelindeki kripto para işletmelerini hedef alan bu kampanya, yıllar içinde önemli ölçüde evrildi. 2024 yılında, Avrupa, Latin Amerika, Güney Kore ve Afrika’daki IT ve savunma şirketlerini hedef alacak şekilde genişledi. Kaspersky’nin son raporu, bu operasyonun yeni bir aşamasına dair önemli bilgiler sunuyor. Rapora göre, kampanya Brezilya’daki nükleer bağlantılı bir kuruluşun çalışanlarını ve Vietnam’daki kimliği belirsiz bir sektörde çalışan bireyleri hedef alıyor.

 

Bir ay içerisinde Lazarus, aynı kuruluştan en az iki çalışanı hedef alarak, önde gelen havacılık ve savunma şirketlerindeki IT pozisyonları için yetenek değerlendirme testleri gibi görünen birden fazla arşiv dosyası gönderdi. İlk aşamada, Lazarus aynı kuruluştaki A ve B isimli iki çalışana bu arşiv dosyalarını ulaştırdı. Bir ay sonra ise ilk hedef üzerinde daha agresif saldırılar gerçekleştirmeye çalıştı. İlk talimatları iletmek ve hedeflere erişim sağlamak için muhtemelen LinkedIn gibi iş arama platformlarını kullandılar.

 

Lazarus, dağıtım yöntemlerini geliştirerek ve farklı türlerde kötü amaçlı yazılımları içeren karmaşık bir enfeksiyon zinciriyle kalıcılığını artırarak faaliyetlerini sürdürüyor. Bu yöntemler arasında bir indirici, yükleyici ve arka kapı yazılımı yer alıyor. Grup, trojanlaştırılmış VNC yazılımı, Windows için uzaktan masaüstü görüntüleyici ve başka bir yasal VNC aracı kullanarak çok aşamalı bir saldırı gerçekleştirdi. İlk aşamada, kötü amaçlı bir AmazonVNC.exe dosyası kullanılarak, VNC yürütülebilir dosyasının dahili kaynaklarını çıkarmak için Ranid Downloader adlı bir indirici şifresi çözüldü ve çalıştırıldı. İkinci bir arşiv, MISTPEN adlı kötü amaçlı yazılımı yükleyen kötü amaçlı bir vnclang.dll dosyasını içeriyordu. Bu yazılım, RollMid ve LPEClient’ın yeni bir varyantı da dahil olmak üzere ek yükleri indirdi.

Kurban ana bilgisayarında oluşturulan kötü amaçlı dosyaların rotası

 

Ayrıca, GReAT uzmanlarının CookiePlus adını verdiği, daha önce görülmemiş bir eklenti tabanlı arka kapı yazılımı da kullandılar. Bu kötü amaçlı yazılım, açık kaynaklı bir Notepad++ eklentisi olan ComparePlus, olarak gizlenmişti. Sisteme yerleştikten sonra, bilgisayar adı, işlem kimliği ve dosya yolları gibi sistem verilerini topluyor ve ana modülünü belirli bir süre “uyku” modunda bırakıyordu. Ayrıca, bir yapılandırma dosyasını değiştirerek çalıştırma takvimini ayarlıyordu.

 

Kaspersky Global Araştırma ve Analiz Ekibi güvenlik uzmanı Sojun Ryu.”Operation DreamJob, kimlik hırsızlığı veya casusluk amacıyla kullanılabilecek hassas sistem bilgilerini topladığı için veri hırsızlığı gibi önemli riskler barındırıyor. Kötü amaçlı yazılımın eylemlerini geciktirebilme yeteneği, sisteme sızdığı anda tespit edilmesini engelleyerek sistemde daha uzun süre kalmasına olanak tanıyor. Belirli yürütme zamanlarını ayarlayarak, fark edilmeden çalışabileceği aralıklarda faaliyet gösterebiliyor. Ayrıca, sistem süreçlerini manipüle edebilmesi, tespit edilmesini zorlaştırıyor ve sistem üzerinde daha fazla zarar veya istismar potansiyeli yaratabiliyor.’”

 

Kaynak: (BYZHA) Beyaz Haber Ajansı

0
be_endim
Beğendim
0
dikkatimi_ekti
Dikkatimi Çekti
0
do_ru_bilgi
Doğru Bilgi
0
e_siz_bilgi
Eşsiz Bilgi
0
alk_l_yorum
Alkışlıyorum
0
sevdim
Sevdim
Sorumluluk Reddi Beyanı:

Pellentesque mauris nisi, ornare quis ornare non, posuere at mauris. Vivamus gravida lectus libero, a dictum massa laoreet in. Nulla facilisi. Cras at justo elit. Duis vel augue nec tellus pretium semper. Duis in consequat lectus. In posuere iaculis dignissim.

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir