ESET Research, Lazarus’un gayeli hücumlarının uygulanmasındaki çeşitlilik, sayı ve kendine mahsus farklılıkların bu kümenin esas nitelikleri olduğunun altını çizerek siber cürüm etkinliklerinin üç temel özelliğine de sahip olduğunu belirtiyor: Siber casusluk, siber sabotaj ve finansal çıkar elde etme dileği.
Kötü maksatlı Amazon temalı dokümanlar içeren maksada yönelik kimlik avı e-postalarıyla başlayan hücumlar, Hollanda’da bir havacılık şirketi çalışanını ve Belçika’da bir siyasi gazeteciyi maksat aldı. Saldırganların temel hedefi data hırsızlığıydı. Her iki kurbana da iş teklifleri sunuldu. Hollanda’daki çalışana LinkedIn İletileşme yoluyla bir ek gönderildi, Belçika’daki gazeteci de e-posta yoluyla bir evrak aldı. Akınlar bu dokümanların açılmasının akabinde başladı. Saldırganlar sisteme dropper’lar, yükleyiciler, tam özellikli HTTP(S) art kapıları dahil olmak üzere çeşitli makus maksatlı araçlar ve HTTP(S) yükleyicileri yerleştirdi.
Saldırganların yerleştirdiği en kıymetli araç, yasal bir Dell sürücüsündeki CVE-2021-21551 güvenlik açığı nedeniyle çekirdek belleği okuma ve yazma özelliği kazanan kullanıcı modu modülüydü. Bu güvenlik açığı Dell DBUtil şoförlerini etkilediği için Dell, Mayıs 2021’de bir güvenlik güncellemesi çıkardı.
‘Sistematik olarak organize, büyük grup işi’
Düzenlenen akınları keşfeden ESET araştırmacısı Peter Kálnai, yaptığı açıklamada şunları söyledi: “Saldırganlar Windows işletim sisteminin kayıt defteri, evrak sistemi, süreç oluşturma, olay izleme vb. hareketlerini izlemek için sunduğu yedi mekanizmayı devre dışı bırakmak için çekirdek bellek yazma erişimini kullandı. Güvenlik tahlillerini epeyce kapsamlı ve sağlam bir formda devre dışı bıraktı. Bütün bunlar, çekirdek alanının yanı sıra bir dizi küçük yahut belgelenmemiş Windows dahili öğesi kullanılarak tesirli bir biçimde yapıldı. Bu taarruzda ve Lazarus’a atfedilen öteki birçok atakta, bir ilgi ağındaki tek bir gaye nokta üzerinde bile birçok aracın dağıtıldığını gördük. Elbet, akının ardındaki grup hayli büyük, sistematik olarak organize ve eksiksiz bir formda hazırlanmış.”
Hollanda’daki taarruz, şirket ağına bağlı bir Windows 10 bilgisayarını etkiledi. Bir çalışanla LinkedIn iletileşme aracılığıyla potansiyel yeni bir iş ile ilgili irtibata geçildi ve bunun sonucunda evrak eki içeren bir e-posta gönderildi. Kurbana gönderilen Amzon_Netherlands.docx Word evrakı, sırf Amazon logolu bir taslak doküman. ESET araştırmacıları bu evrakın Amazon uzay programı Project Kuiper için bir iş teklifi içerebileceğini varsayıyor.