İSTANBUL (AA) - Kaspersky Global Araştırma ve Analiz Ekibi (GReAT), Güney Kore'deki kuruluşları hedef almak için üçüncü taraf yazılımlardaki güvenlik açıklarından yararlanmayla watering hole saldırısını birleştiren yeni bir 'Lazarus' saldırı kampanyasını ortaya çıkardı.

Şirketten yapılan açıklamaya göre, Kaspersky GReAT tarafından yayınlanan yeni bir rapora göre, saldırganlar Güney Kore'de yazılım, BT, finans, yarı iletken ve telekomünikasyon sektörlerinde en az 6 kuruluşu hedef aldı.

Kaspersky araştırmacıları bu kampanyaya 'Operation SyncHole' adını verdi. En az 2009'dan beri aktif olan Lazarus Grubu, geniş kaynaklara sahip ve kötü şöhretli bir tehdit aktörü olarak biliniyor.

Yakın tarihli bir kampanyada, grubun idari ve finansal sistemlerde güvenli dosya aktarımları için kullanılan ve üçüncü taraf tarayıcıya entegre bir araç olan Innorix Agent'taki bir günlük güvenlik açığından yararlandığı görüldü.

Saldırganlar bu güvenlik açığından yararlanarak yanal hareketi kolaylaştırdı ve hedeflenen ana bilgisayara ek kötü amaçlı yazılım yüklenmesini sağladı.

Bu da ThreatNeedle ve LPEClient gibi Lazarus imzalı kötü amaçlı yazılımların dağıtılmasına yol açarak iç ağlardaki konumunu genişletti. Bu açık, Agamemnon indiricisi aracılığıyla sunulan daha büyük bir saldırı zincirinin parçasıydı ve özellikle Innorix'in savunmasız bir sürümünü hedef alıyordu.

Kaspersky GReAT uzmanları, zararlı yazılımın davranışını analiz ederken, herhangi bir tehdit aktörü saldırılarında kullanmadan önce bulmayı başardıkları başka bir rastgele dosya indirme sıfır gün açığı da keşfetti.

Kaspersky, Innorix Agent'taki sorunları Kore İnternet ve Güvenlik Ajansı'na (KrCERT) ve satıcıya bildirdi. Yazılım o zamandan beri yamalı sürümlerle güncellenirken, güvenlik açığına KVE-2025-0014 tanımlayıcısı atandı.

Innorix ile ilgili bulgulardan önce, Kaspersky uzmanları daha önce Güney Kore'ye yönelik takip eden saldırılarda ThreatNeedle ve SIGNBT arka kapısının bir varyantının kullanıldığını keşfetti.

Zararlı yazılım, meşru bir SyncHost.exe işleminin belleğinde çalışıyor ve çeşitli tarayıcı ortamlarında güvenlik araçlarının kullanımını desteklemek için tasarlanmış meşru bir Güney Kore yazılımı olan Cross EX'in bir alt işlemi olarak oluşturuldu.

Kampanyanın detaylı analizi, aynı saldırı vektörünün Güney Kore'deki 5 kuruluşta daha tutarlı bir şekilde tespit edildiğini doğruladı.

Her bir vakadaki bulaşma zincirinin Cross EX'teki potansiyel bir güvenlik açığından kaynaklandığı görüldü.

Özellikle KrCERT tarafından yayınlanan yakın tarihli bir güvenlik danışmanlığı, CrossEX'te güvenlik açığının varlığını doğruladı ve bu güvenlik açığı bu araştırmanın yapıldığı zaman diliminde yamalandı.

Lazarus Grubu, genellikle çok sayıda kullanıcı tarafından ziyaret edilen güvenliği ihlal edilmiş çevrim içi medya web sitelerini yem olarak kullanıyor. Bu teknik, watering hole saldırıları olarak da biliniyor.

Tehdit aktörleri gelen trafiği filtreleyerek ilgilendikleri kişileri tespit ediyor, bu hedefleri seçerek saldırganların kontrolündeki web sitelerine yönlendiriyor ve burada bir dizi teknik eylemle saldırı zincirini başlatıyor. Bu yöntem, grubun operasyonlarının hedefli ve stratejik doğasını vurguluyor.

Kaspersky, Lazarus ve diğer Gelişmiş Kalıcı Tehdit (APT) saldırılarına karşı savunmak için doğru tespit, bilinen tehditlere hızlı yanıt ve güvenilir güvenlik araçları kullanımını öneriyor.

- 'Tehditlerin erken tespiti, sistemlerin daha geniş çapta tehlikeye girmesini önlemenin anahtarıdır'

Açıklamada görüşlerine yer verilen Kaspersky GReAT Güvenlik Araştırmacısı Sojun Ryu, Siber güvenliğe proaktif yaklaşımın çok önemli olduğunu belirtti.

Derinlemesine zararlı yazılım analizlerinin daha önce bilinmeyen bir güvenlik açığını herhangi bir aktif istismar belirtisi ortaya çıkmadan önce bulmasının bu zihniyet sayesinde olduğuna değinen Ryu, 'Bu tür tehditlerin erken tespiti, sistemlerin daha geniş çapta tehlikeye girmesini önlemenin anahtarıdır.' ifadesini kullandı.

Kaspersky GReAT Direktörü Igor Kuznetsov da üçüncü taraf tarayıcı eklentileri ve yardımcı araçların, özellikle bölgeye özgü veya eski yazılımlara dayanan ortamlarda saldırı yüzeyini önemli ölçüde artırdığını aktardı.

Bu bileşenlerin genellikle yüksek ayrıcalıklarla çalıştığını kaydeden Kuznetsov, 'Bellekte kalıyor ve tarayıcı süreçleriyle derinlemesine etkileşime giriyor. Bu da onları saldırganlar için oldukça çekici ve genellikle modern tarayıcıların kendisinden daha kolay hedefler haline getiriyor.' ifadelerini kullandı.