Finansal operasyonlarıyla ünlü, gelişmiş ve kararlı tehdit aktörü Lazarus, kripto para birimlerini çalarak gelirini artırmak işçin Truva atına dönüştürülmüş, dağıtılmış, finans (DeFi) uygulamalarıyla saldırıya geçti. Böylece Lazarus, kurbanlarının sistemleri üzerinde kontrol sağlayan kötü amaçlı yazılımları dağıtarak, kripto para cüzdanlarını yönetmek için kullanılan meşru uygulamaları kötüye kullanıyor.

Lazarus grubu, 2009'dan beri faaliyet gösteren dünyanın en aktif APT aktörlerinden biri. Çoğu devlet destekli APT grubunun aksine Lazarus ile bağlantılı APT tehdit aktörleri, finansal kazancı öncelikli hedeflerinden biri haline getirdi. Kripto para piyasası, takas edilemeyen token (NFT) ve dağıtılmış finans (DeFi) pazarlarıyla birlikte büyürken, Lazarus kripto para kullanıcılarını hedeflemek için yeni yollar bulmaya devam ediyor.

Aralık 2021'de Kaspersky araştırmacıları, Lazarus grubu tarafından sağlanan bir Truva Atı DeFi uygulamasını kullanarak kripto para çalmaya çalışan yeni bir kötü amaçlı yazılım operasyonunu ortaya çıkardı. Uygulama, kripto para cüzdanlarını kaydeden ve yöneten DeFi Wallet adlı meşru bir program içeriyor. Uygulama çalıştırıldığında, meşru uygulama yükleyicinin yanına kötü amaçlı bir dosya bırakılıyor ve kötü amaçlı yazılım Truva atlı bir yükleyici yoluyla başlatılıyor. Oluşturulan bu kötü amaçlı yazılım, daha sonra Truva Atı uygulanmış bir şekilde meşru uygulamanın üzerine ekleniyor.

Bu bulaşma düzeninde kullanılan kötü amaçlı yazılım, kurbanın sistemlerini uzaktan kontrol etme yeteneğine sahip tam özellikli bir arka kapı özelliğinde. Saldırgan, sistemin kontrolünü ele geçirdikten sonra dosyaları silebiliyor, bilgi toplayabiliyor, belirli IP adreslerine bağlanabiliyor ve komuta kontrol sunucusuyla iletişim kurabiliyor. Lazarus'un saldırılarının geçmişine dayanarak, araştırmacılar bu operasyonun arkasındaki motivasyonun finansal kazanç olduğunu varsayıyorlar. Bu arka kapının işlevlerini inceledikten sonra Kaspersky araştırmacıları, Lazarus grubu tarafından kullanılan diğer araçlarla, CookieTime ve ThreatNeedle kötü amaçlı yazılım kümeleriyle çok sayıda benzerlik keşfetti. Çok aşamalı bulaşma şeması, Lazarus'un altyapısında da yoğun olarak kullanılıyor.

Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT) Kıdemli Güvenlik Araştırmacısı Seongsu Park, şunları söylüyor: “Lazarus'un kripto para birimi endüstrisine olan ilgisini bir süredir gözlemliyoruz ve bulaşma sürecine dikkat çekmeden, kurbanlarını cezbetmek için karmaşık yöntemler geliştirdiklerini görüyoruz. Kripto para birimi ve blok zinciri tabanlı sektörler, gelişmeye ve daha yüksek düzeyde yatırım çekmeye devam ediyor. Bu nedenle yalnızca dolandırıcıları ve kimlik avcılarını değil, aynı zamanda finansal olarak motive edilmiş APT grupları da dahil olmak üzere büyük oyuncuları da cezbediyorlar. Kripto para piyasasının büyümesiyle Lazarus'un bu sektöre olan ilgisinin yakın zamanda azalmayacağını düşünüyoruz. Yakın tarihli bir kampanyada Lazarus, meşru bir DeFi uygulamasını taklit ederek ve kripto avcılığında yaygın olarak kullanılan bir taktik olan kötü amaçlı yazılımları bırakarak durumu kötüye kullandı. Bu nedenle şirketleri, tanıdık ve güvenli görünseler bile bilinmeyen bağlantılar ve e-posta ekleri konusunda dikkatli olmaya çağırıyoruz.”

Securelist.com adresinden, Lazarus'un yeni operasyonu hakkında daha fazla bilgi edinebilirsiniz.

Bilinen veya bilinmeyen tehdit aktörlerinin hedefli saldırılarına maruz kalmamak için Kaspersky araştırmacıları aşağıdaki önlemlerin uygulanmasını tavsiye ediyor:

Permimetrede veya ağın içinde keşfedilen zayıflıkları veya kötü niyetli öğeleri düzeltmek için ağlarda siber güvenlik denetimi yapılmalı ve sürekli olarak izlenmelidir.

Hedefli saldırıların çoğu kimlik avı veya diğer sosyal mühendislik teknikleriyle başladığından, personele temel siber güvenlik hijyeni eğitimi verilmelidir.

Çalışanlar yalnızca güvenilir kaynaklardan ve resmi uygulama mağazalarından yazılım ve mobil uygulamalar indirmeleri konusunda bilinçlendirilmelidir.

Olayların zamanında tespit edilmesini ve gelişmiş tehditlere yanıt verilmesini sağlamak için bir EDR ürünü kullanılmalıdır. Kaspersky Managed Detection and Response gibi hizmetler, hedefli saldırılara karşı tehdit avlama yetenekleri sağlar.

Hesap hırsızlığını, habersiz işlemleri ve kara para aklamayı tespit edip önleyerek kripto para işlemlerini koruyabilen bir dolandırıcılık karşıtı çözüm benimsenmelidir.