Kaspersky, Lazarus DreamJob kampanyasına yeni eklemeler keşfetti. Suçlular aynı nükleer ile ilişkili firmada çalışan iki kişiyi hedef aldı. Saldırıda, güncellenmiş kötü amaçlı yazılımları kullanarak erişim sağlamaya çalıştılar.

Kuzey Kore hükümeti ile ilişkilendirilen tehdit aktörü ünlü Lazarus Grubu, yeni kötü amaçlı yazılım türleri ile aynı nükleer ile ilişkili organizasyondaki IT profesyonellerine saldırmaya devam ettiği gözlemlendi. Bu saldırılar, öncelikle 2020’de başlatılan DreamJob Operasyonu olarak adlandırılan kampanyanın devamı gibi görünüyor. Bu operasyonda, savunma, havacılık, kripto para ve diğer küresel sektörlerde çalışan insanlara sahte işler oluşturup bu hayal edilen pozisyonları sunarak hedefleniyorlardı. Sosyal medya aracılığıyla, LinkedIn veya diğer platformlar üzerinden iletişime geçerler ve “mülakatlar” adı altında birden fazla tur düzenlerlerdi. Bu mülakatların herhangi bir aşamasında, kurbanlara ya bir kötü amaçlı yazılım ya da trojanlaştırılmış uzak erişim araçları bırakırlardı.

CookieTime ve CookiePlus
Bu kampanyanın son hedefi, hassas bilgileri veya kripto paraları çalmaktır. Lazarus, 2022 yılında bir kripto şirketinden yaklaşık 600 milyon dolar çalmayı başarmıştır. Kaspersky’nin en son açıklamasına göre, Lazarus bu kez zararlı uzak erişim araçlarıyla iki kişiyi hedef aldı. Daha sonra, saldırganlar, komutlarını yürütmek için bir arka kapı görevi gören CookieTime adlı bir kötü amaçlı yazılımı bırakmak için bu araçları kullandılar. Bu, saldırganlara ağ üzerinde yatay hareket etme ve LPEClient, Charamel Loader, ServiceChanger ve CookiePlus’ın güncellenmiş bir sürümü gibi çeşitli başka kötü amaçlı yazılım türlerini indirme yeteneği verdi.

Kaspersky, CookiePlus’ın özellikle ilginç olduğunu belirtir ve bunun en son araştırma sırasında keşfedilen yeni bir eklenti tabanlı kötü amaçlı bir program olduğunu açıklar. ServiceChanger ve Charamel Loader tarafından yüklenen CookiePlus, yükleyiciye bağlı olarak farklı şekillerde çalıştırılır. CookiePlus, bir indirici olarak hareket ettiği için işlevselliği sınırlıdır ve minimum bilgi iletilir. Saldırılar Ocak 2024’te gerçekleşti, bu da Lazarus’un Kuzey Kore’den ciddi bir tehdit olmaya devam ettiği anlamına geliyor.

Kaynak: The Hacker News
Önerilen İçerikler:
Dikkatli olun – bu hayal edilen iş teklifi kötü amaçlı yazılım dolandırıcılığı olabilir
Sunulan en iyi antivirüs araçlarının listesi burada
Şu an en iyi uç nokta koruma araçları bunlar