Yayınlanma: 9 Ocak 2020 12:10
Güncellenme: 21 Kasım 2024 08:35
2018 yılında Kaspersky Global Araştırma ve Analiz Ekibi, ünlü tehdit birliği Lazarus vasıtasıyla kripto para birimi hırsızlığı yapmak için bir araya gelen AppleJeus saldırısı hakkında verilerini paylaşmıştı. Yeni elde edilen veriler, saldırının çok daha dikkatli, geliştirilmiş taktikler ve uygulamalarla devam ettiğini öne sürüyor. Saldırıda kullanılan en büyük uygulama arasında Telegram da kendine yer buldu. İngiltere, Polonya, Rusya ve Çin’de kripto para birimiyle iş yapan oldukça fazla kurum bu saldırıdan nasibini aldı.
Bugün, Lazarus en aktif ve yaygın gelişmiş kalıcı tehdit birliklerinden biri. Bu grup geçmişte kripto para birimleri hakkında kurumları hedef aldığı tehdit ve saldırılarla adını tüm dünyaya yaydı. 2018 yılında düzenlenen ilk AppleJeus saldırısında birlik, kötüye kullanılan bir uygulamayı paylaşmak için sahte bir kripto para birimi şirketi oluşturmuş ve potansiyel kişilerin güveninden faydalanmıştı. Lazarus bu operasyonda kendi geliştirdiği ilk macOS kötü amaçlı yazılımını kullandı. Üçüncü kişi web sitelerinden indirilen bu uygulama, bir güncelleme ile birlikte zararlı bölümleri kuruyordu. Saldırganlar bu uygulama ile kullanıcının cihazını tamamen kontrol edip kripto paraları cebe indirebiliyordu.
Kaspersky araştırmacıları sürdürülen operasyonda grubun saldırı taktiklerini büyük ölçüde değiştirdiğini keşfetti. Lazarus bu kez kripto para birimleriyle ilgili sahte web siteleri kurarak buralarda sahte kurumsal Telegram kanalları paylaştı. Oluşturdukları zararlı yazılım da bu kanallar üzerinden çoğaltıldı ve dağıtıldı.
İlk yapılan AppleJeus operasyonunda olduğu gibi saldırı iki adımlı bir aşamadan oluşuyordu. Kullanıcılar öncelikle uygulamayı indiriyor, sonrasında da uygulama bir sonraki parçayı bir uzak sunucudan alıp kendi bilgisayarlarına kuruyordu. Bu sayede saldırganlar kalıcı bir arka kapı üzerinden cihazın kontrolünü bütünüyle kendi ellerine alabiliyorlardı. Fakat bu kez yakalanmamak adına daha dikkatli bir şekilde sunuldu. macOS tabanlı sistemlere yönelik saldırılarda, macOS dosya indiricisine bir de kimlik doğrulama sistemi eklendi. Tüm bunların yanı sıra yazılımın geliştirilme altyapısının değiştirildiği ve dosyasız bir bulaştırma yönteminin kullanıldığı açıklandı. Bu yapılan değişiklikler ise saldırganların çok daha dikkatli olduğunu ve gerçekleştirilebilecek tespitlerden kaçınmak adına yeni ve farklı yöntemlere başvurduğunun bir kanıtı.