btbilgi

Kaspersky araştırmacıları sektör bazında özelleştirilmiş yeni bir siber operasyon tespit etmiş. Son yıllarda ismi çok duyulan APT (gelişmiş kalıcı tehdit) grubu Lazarus tarafından yürütülen operasyonun, 2020 başından beri savunma sektörünü hedeflediği bilgisi veriliyor. Bu saldırıların ‘ThreatNeedle’ adlı özel bir yazılım aracılığı ile gerçekleştirildiği ve virüslü ağlar aracılığıyla yayıldığı saptanmış.

2009’dan beri aktif olan ve bir dizi çok yönlü kampanyayla bağlantılı olduğu tespit edilen Lazarus siber suç grubunun operasyonları ThreatNeedle yazılımını baz alıyor. Bu arka kapı yazılımı virüslü ağlar aracılığıyla yatay olarak hareket ediyor ve gizli bilgilerin çalınmasını sağlıyor. Tehditten şimdiye dek bir düzineden fazla ülkede yer alan çeşitli kuruluşların etkilendiği açıklanmakta.

Tehdit ilk bulaşmasını hedefli kimlik avı yoluyla gerçekleştiriyor. Kurum içinde hedeflenen kişiye kötü amaçlı kod içeren bir Word dosyası veya şirket sunucularında barındırılan bir bağlantının olduğu e-postalar gönderiliyor. E-postaların konusu genellikle pandemiye dair acil güncellemelerle ilgili oluyor ve mesaja saygın bir tıp merkezinden gönderilmiş süsü veriliyor.

Belge açıldığında, kötü amaçlı kod sisteme giriyor ve dağıtım işleminin bir sonraki aşamasına geçiliyor. Kampanyada kullanılan ThreatNeedle kötü amaçlı yazılımı, Lazarus grubuna ait olan ve daha önce kriptopara şirketlerine saldırdığı görülen Manuscrypt adlı bir kötü amaçlı yazılım ailesine ait. ThreatNeedle sisteme kurulduktan sonra kurbana ait cihazın tam kontrolünü ele geçiriyor, dosyaları değiştirmekten uzaktan gönderilen komutları yürütmeye kadar her şeyi yapabiliyor.

Raporda dikkat çekilen noktalardan biri, Lazarus’un hem ofis BT ağlarından (internet erişimi olan bilgisayarları içeren ağ) hem de tesisin sınırlandırılmış ağından (kritik görev varlıklarını ve son derece hassas verilere sahip bilgisayarları içeren, internete bağlı olmayan ağ) veri çalma becerisine sahip olması.

Normalde kurumsal siber güvenlik poltikalarına göre bu iki ağ arasında hiçbir bilgi aktarılmaması gerektiği hatırlatılmış. Bu sistemin tek zayıf noktası ise, sistemleri korumak için her iki ağa da bağlanabilen BT yöneticileri. Lazarus grubunun bu kategorideki yönetici iş istasyonlarının kontrolünü ele geçirdiği ve sonra da ağlar arasında geçitler kurarak verilere eriştiği gözlemlenmiş. Grubun yakın gelecekte yeni ThreatNeedle saldırıları yapmaları da beklenmekte.

Yorumlar
btbilgi
PAYLAŞ
blank
xTRlarge, Türkiye'nin (TR) üretici ve yenilikçi potansiyelini sergilemek; farklı bakış açılarını, yeni tarzları, x sayıda yeni değeri, girişimi, fikri yansıtmak; teknolojiden doğaya, iş yönetiminden tasarıma, insana dair faaliyetlerin en geniş ufkunu sizlerle mümkün olduğu kadar geniş 'large" paylaşabilmek için yola çıktı. Geleceğe inancı olanlarla birlikte mesafe katetmeyi planlıyor.