İSTANBUL (AA) - Kaspersky'nin Küresel Araştırma ve Analiz Ekibi (GReAT), kötü şöhretli Lazarus grubuyla bağlantılı olan ve "DeathNote" olarak da bilinen Operation DreamJob ile ilişkili yeni bir kampanya keşfetti.

Şirketten yapılan açıklamaya göre, ilk olarak 2019'da ortaya çıkan ve dünya genelindeki kripto para işletmelerini hedef alan bu kampanya, yıllar içinde önemli ölçüde evrildi.

2024'te, Avrupa, Latin Amerika, Güney Kore ve Afrika'daki IT ve savunma şirketlerini hedef alacak şekilde genişledi. Kaspersky'nin son raporu, bu operasyonun yeni bir aşamasına dair önemli bilgiler sunuyor. Rapora göre, kampanya Brezilya'daki nükleer bağlantılı bir kuruluşun çalışanlarını ve Vietnam'daki kimliği belirsiz bir sektörde çalışan bireyleri hedef alıyor.

Bir ay içerisinde Lazarus, aynı kuruluştan en az iki çalışanı hedef alarak, önde gelen havacılık ve savunma şirketlerindeki IT pozisyonları için yetenek değerlendirme testleri gibi görünen birden fazla arşiv dosyası gönderdi. İlk aşamada, Lazarus aynı kuruluştaki iki çalışana bu arşiv dosyalarını ulaştırdı. Bir ay sonra ise ilk hedef üzerinde daha agresif saldırılar gerçekleştirmeye çalıştı. İlk talimatları iletmek ve hedeflere erişim sağlamak için muhtemelen LinkedIn gibi iş arama platformlarını kullandı.

Lazarus, dağıtım yöntemlerini geliştirerek ve farklı türlerde kötü amaçlı yazılımları içeren karmaşık bir enfeksiyon zinciriyle kalıcılığını artırarak faaliyetlerini sürdürüyor. Bu yöntemler arasında bir indirici, yükleyici ve arka kapı yazılımı yer alıyor. Grup, "trojanlaştırılmış" VNC yazılımı, uzaktan masaüstü görüntüleyici ve başka bir yasal VNC aracı kullanarak çok aşamalı bir saldırı gerçekleştirdi.

İlk aşamada, kötü amaçlı bir AmazonVNC.exe dosyası kullanılarak, VNC yürütülebilir dosyasının dahili kaynaklarını çıkarmak için Ranid Downloader adlı bir indirici şifresi çözüldü ve çalıştırıldı. İkinci bir arşiv, MISTPEN adlı kötü amaçlı yazılımı yükleyen kötü amaçlı bir vnclang.dll dosyasını içeriyordu. Bu yazılım, RollMid ve LPEClient'ın yeni bir varyantı da dahil olmak üzere ek yükleri indirdi.

Ayrıca, GReAT uzmanlarının CookiePlus adını verdiği, daha önce görülmemiş bir eklenti tabanlı arka kapı yazılımı da kullandılar. Bu kötü amaçlı yazılım, açık kaynaklı bir Notepad++ eklentisi olan ComparePlus, olarak gizlenmişti. Sisteme yerleştikten sonra, bilgisayar adı, işlem kimliği ve dosya yolları gibi sistem verilerini topluyor ve ana modülünü belirli bir süre uyku modunda bırakıyordu. Ayrıca, bir yapılandırma dosyasını değiştirerek çalıştırma takvimini ayarlıyordu.

Açıklamada görüşlerine yer verilen Kaspersky Global Araştırma ve Analiz Ekibi Güvenlik Uzmanı Sojun Ryu, Operation DreamJob'un, kimlik hırsızlığı veya casusluk amacıyla kullanılabilecek hassas sistem bilgilerini topladığı için veri hırsızlığı gibi önemli riskler barındırdığını belirtti.

Ryu, kötü amaçlı yazılımın eylemlerini geciktirebilme yeteneğinin, sisteme sızdığı anda tespit edilmesini engelleyerek sistemde daha uzun süre kalmasına olanak tanıdığını kaydederek, "Belirli yürütme zamanlarını ayarlayarak, fark edilmeden çalışabileceği aralıklarda faaliyet gösterebiliyor. Ayrıca, sistem süreçlerini manipüle edebilmesi, tespit edilmesini zorlaştırıyor ve sistem üzerinde daha fazla zarar veya istismar potansiyeli yaratabiliyor." ifadelerini kullandı.