Nöbetçi Eczaneler
Kuzey Kore destekli tehdit aktörü Lazarus Grubu, Google Chrome’daki şimdi kapatılmış bir güvenlik açığını kullanarak, hedef aldığı cihazların kontrolünü ele geçirdi. Siber güvenlik firması Kaspersky’nin Mayıs 2024’te tespit ettiği bu saldırı zinciri, kimliği açıklanmayan bir Rus vatandaşının kişisel bilgisayarına yönelik bir Manuscrypt arka kapı saldırısını içeriyor.
Saldırganlar, özellikle kripto para sektöründeki kullanıcıları hedef alarak, sahte bir oyun sitesi olan “detankzone[.]com” üzerinden sıfırıncı gün açığını tetikleyerek bu kişilerin cihazlarını ele geçirdi. Saldırının Şubat 2024’te başladığı tahmin ediliyor. Görünürde merkeziyetsiz finans (DeFi) tabanlı, NFT’lere dayalı bir çok oyunculu tank savaş oyununu tanıtan bu web sitesi, kullanıcıları deneme sürümünü indirmeye davet ediyordu. Ancak, arka planda, kullanıcıların Google Chrome tarayıcılarında bir sıfırıncı gün açığını başlatarak, saldırganlara cihazın tam kontrolünü sağladı.
Güvenlik Açığı Detayları
Saldırıda kullanılan açık, Google’ın V8 JavaScript ve WebAssembly motorundaki CVE-2024-4947 adlı bir tür karmaşıklık hatasından kaynaklanıyor. Bu açık, Google tarafından Mayıs 2024’te kapatıldı. Microsoft ise, Lazarus Grubu’nun bu tür saldırılarda sahte oyunlar kullanarak zararlı yazılımlar yaymasını daha önce başka bir Kuzey Koreli tehdit grubu olan Moonstone Sleet’e atfetmişti.
Lazarus Grubu’nun bu saldırıları, hedeflere sahte blockchain şirketleri veya yatırım arayışındaki oyun geliştiricileri olarak yaklaşarak, oyun yüklemeye ikna etme şeklinde gerçekleşiyor. Kullanıcılar, saldırganların sunduğu sahte oyunları indirdiklerinde, bu oyunlar üzerinden zararlı kodlar çalıştırılıyor ve bilgisayarlar ele geçiriliyor.
Sosyal Mühendislik ve Manipülasyon Taktikleri
Kaspersky’nin raporuna göre, Lazarus Grubu, hedeflerine ulaşmak için sosyal medya platformlarında etkili bir varlık gösteriyor. Özellikle X (eski adıyla Twitter) ve LinkedIn üzerinde sahte hesaplar açarak, yapay zeka ve grafik tasarım kullanımıyla hedef kitleleri etkilemeye çalışıyorlar. Sahte oyun sitelerine kullanıcı çekmek için aylarca sosyal medya hesaplarından düzenli içerik paylaşımları yapıldı.
Lazarus Grubu’nun, DeFiTankLand (DFTL) adlı bir blockchain oyunundan kaynak kodu çaldığı ve bu kodu kendi kötü amaçlarına hizmet etmek için kullandığı da belirtiliyor. Mart 2024’te gerçekleşen bu saldırıda, DFTL2 kripto paralarının 20.000 dolarlık bir kısmı çalındı. Olayın iç kaynaklı olduğu öne sürülse de, Kaspersky bu hırsızlığın arkasında Lazarus Grubu’nun olduğunu iddia ediyor.
Saldırı Yöntemleri ve Olası Tehditler
Lazarus Grubu, Chrome tarayıcısında yer alan açık üzerinden saldırıyı gerçekleştirdikten sonra, hedef bilgisayarın sistem bilgilerini toplamak için bir doğrulayıcı çalıştırıyor. Hedef bilgisayarın değerli olduğunu tespit etmeleri durumunda, ileri düzey saldırılar için kullanılıyor. Bu aşamadan sonra cihazlara tam olarak hangi zararlı yazılımın yüklendiği ise henüz bilinmiyor.
Uzmanlar, Lazarus Grubu’nun sosyal mühendislik taktiklerini sürekli olarak geliştirdiğini ve özellikle yapay zekadan yararlanarak daha karmaşık saldırılar gerçekleştirebileceğini öngörüyor. Kripto para sektörüne yönelik bu tür saldırıların devam etmesi, kullanıcıların dikkatli olmalarını ve güvenlik açıklarına karşı önlem almalarını zorunlu kılıyor.
CUMHA – CUMHUR HABER AJANSI