Categories: Teknoloji

İş teklifinin içinden siber saldırı çıktı

ESET araştırmacıları, Linux kullanıcılarını hedef alan yeni bir Lazarus Operasyonu olan DreamJob kampanyasını  keşfetti

ESET araştırmacıları, Kuzey Kore bağlantılı tehdit aktörü Lazarus’un DreamJob adı verilen kampanyasını keşfetti. ESET Research, Lazarus’un Linux kullanıcılarına yönelik sahte cazip iş teklifleriyle hedef aldığı kişilerin bilgisayarlarına sızmak için sosyal mühendislik tekniklerini kullandığı kampanya olan Dreamjob   kampanyasını, 3CX telefon sistemi tedarik zinciri saldırısıyla ilişkilendirdi.

ESET Research, yem olarak sahte bir HSBC iş teklifi sunan ZIP dosyasından son yüke kadar tüm zinciri yeniden oluşturmayı başardı: OpenDrive bulut depolama hesabı aracılığıyla dağıtılan SimplexTea Linux arka kapısı. Kuzey Kore bağlantılı bu büyük tehdit aktörü, operasyonun bir parçası olarak Linux kötü amaçlı yazılımını ilk kez kullanıyor. Bu yeni keşfedilen Linux kötü amaçlı yazılımıyla benzerlikler, 3CX tedarik zinciri saldırısının arkasında kötü bir üne sahip Kuzey Kore bağlantılı grubun olduğu teorisini destekliyor.

Lazarus etkinliklerini araştıran ESET araştırmacısı Peter Kálnai bu konuda şunları söyledi: “Bu keşif son 3CX tedarik zinciri saldırısının aslında Lazarus tarafından gerçekleştirildiğine dair inandırıcı kanıtlar sunuyor. Baştan beri bu durumdan şüpheleniliyor ve o zamandan beri birçok güvenlik araştırmacısı tarafından buna dikkat çekiliyordu.” 

3CX, birçok kuruluşa telefon sistemi hizmetleri sağlayan uluslararası bir VoIP yazılım geliştiricisi ve distribütörü. Web sitesine göre 3CX’in havacılık, sağlık ve konaklama dahil olmak üzere çeşitli sektörlerde 600.000’den fazla müşterisi ve 12 milyon kullanıcısı var. Sistemlerini bir web tarayıcısı, mobil uygulama veya bir masaüstü uygulaması aracılığıyla kullanmak için istemci yazılımı sunuyor. Mart 2023’ün sonlarında, hem Windows hem de macOS için masaüstü uygulamasının yüklendiği tüm makinelerde, bir grup saldırganın rastgele kod indirip çalıştırmasını sağlayan kötü amaçlı kod olduğu keşfedildi. Güvenliği ihlal edilen 3CX yazılımı, bazı 3CX müşterilerine ilave olarak kötü amaçlı yazılım dağıtmak için harici tehdit aktörleri tarafından gerçekleştirilen bir tedarik zinciri saldırısında kullanıldı.

Kötü amaçlı bu kişiler bu saldırıları Aralık 2022 gibi çok önceki bir tarihte planlamışlardı. Bu, geçen yılın sonlarında 3CX ağında bir yer edindiklerini gösteriyor. Saldırının halka açıklanmasından birkaç gün önce, VirusTotal’a gizemli bir Linux indirici gönderildi. Bu indirici, Linux için yeni bir Lazarus arka kapısı olan SimplexTea’yi indirerek 3CX saldırısındaki yüklerle aynı Komuta ve Kontrol sunucusuna bağlanıyor.

Kálnai durumu şöyle açıklıyor: “Çeşitli BT altyapılarına dağıtılan bu güvenliği ihlal edilmiş yazılım, yıkıcı etkileri olabilecek her türlü yükün indirilmesine ve yürütülmesine olanak tanır. Bir tedarik zinciri saldırısının gizliliği, bu kötü amaçlı yazılım dağıtma yöntemini bir saldırgan için oldukça çekici hale getiriyor ve Lazarus bu tekniği zaten daha önce kullanmıştı. 

DreamJob Operasyonu, Lazarus’un sahte cazip iş teklifleriyle hedef aldığı kişilerin bilgisayarlarına sızmak için sosyal mühendislik tekniklerini kullandığı bir dizi kampanyanın adı. 20 Mart’ta Gürcistan’daki bir kullanıcı VirusTotal’a HSBC job offer.pdf.zip adlı bir ZIP arşivi gönderdi. Lazarus’un diğer DreamJob kampanyaları göz önüne alındığında, bu yük muhtemelen hedefe yönelik kimlik avı veya LinkedIn’deki doğrudan mesajlar aracılığıyla dağıtıldı. Arşiv tek bir dosya içeriyor: Go’da yazılmış ve HSBC job offer․pdf adlı yerel bir 64 bit Intel Linux ikili dosyası.

 

Kaynak: (BYZHA) Beyaz Haber Ajansı

Recent Posts

Savunma Teknolojileri Entegrasyon Zirvesi Ankara’da Gerçekleşecek!

Savunma sanayii ve teknoloji ekosisteminin önde gelen temsilcileri, Anadolu Bilişim Buluşmaları'nın 23 Temmuz 2026'da düzenleyeceği…

1 gün ago

Küresel Markalaşmada “Türk Ekolü” Dönemi

Dijital dönüşüm ve yapay zekâ teknolojilerinin iş dünyasını hızla değiştirdiği günümüzde, pazarlama ekosistemine yön veren…

2 gün ago

Bebekli Aileler İçin Tatil Rehberi

Minik Gezginlerle Yaz Macerası: Bebekli Aileler İçin Tatil Rehberi! Yaz ayları; güneş, deniz, kumsal ve…

3 gün ago

Flormar’dan Göz Makyajında Kalıcı ve Göz Alıcı Yeni Seri: Extreme Tattoo Ailesi!

Flormar, makyaj severlerin favorisi Extreme Tattoo göz kalemi serisini, üç güçlü yeni üye ile genişletiyor.…

7 gün ago

ÇORDEF’ten Dev Kültür ve Markalaşma Hamlesi: Projelerin Başına Mürsel Ferhat Sağlam Getirildi

Çorum Dernekler Federasyonu (ÇORDEF) Genel Başkanı Dursun Ünlü liderliğinde, sivil toplum ve iş dünyasının önde…

1 hafta ago

Hem Sizi Hem Bebeğinizi Korumak İçin 8 Kritik Uyarı

Yaz Aylarında Hamilelik: Hem Sizi Hem Bebeğinizi Korumak İçin 8 Kritik Uyarı! Hamilelik dönemi, kadın…

2 hafta ago