Şimali Koreya ilə əlaqəli “Lazarus” İspaniyada bir aerokosmik şirkətə hücum etmək üçün “LinkedIn”də “Meta” kimi davranıb.
Gununsesi.info xəbər verir ki, ESET tədqiqatçıları İspaniyada bir aerokosmik şirkətə “Lazarus” hücumunu ifşa ediblər. Məlum olub ki, təcavüzkarlar bir neçə alətdən, o cümlədən ESET tərəfindən hazırlanmış “LightlessCan” adlı yeni kəşf edilmiş arxa qapıdan istifadə ediblər.
Şimali Koreya ilə əlaqəli “Lazarus” qrupunun operatorları ötən il Facebook, Instagram və Votsap platformalarına sahib olan “Meta” üçün işəgötürən kimi təqdim edərək uğurlu nizə fişinq hücumundan sonra şirkətin şəbəkəsinə giriş əldə ediblər. Hücumun son məqsədi kibercasusluq kimi qeydə alınıb.
Saxta işəgötürən hədəflə “LinkedIn Messaging” peşəkar sosial şəbəkə platforması “LinkedIn” tərəfindən təmin edilən xüsusiyyət vasitəsilə əlaqə saxlayıb. O, hədəfə işə qəbul prosesinin bir hissəsi kimi tələb olunduğu bildirilən iki kodlaşdırma testi göndərib. Təsirə məruz qalan aerokosmik şirkəti ilə əməkdaşlıq sayəsində ESET “Research” ilkin giriş addımlarını yenidən yaratmaqla “Lazarus” tərəfindən istifadə edilən alətlər dəstini təhlil edə bilib. Qrup bir çox şirkətin əməkdaşlarını hədəf alıb.
“Lazarus” hədəflərin sistemlərinə çoxlu faydalı yüklər göndərib. Bunlardan ən mühümü “LightlessCan” adlı əvvəllər qeydiyyatdan keçməmiş mürəkkəb uzaqdan giriş troyanıdır (RAT). Troyan müxtəlif yerli “Windows” tapşırıqlarının funksiyalarını təqlid edir və tez-tez hücumçular tərəfindən səs-küylü konsol icraları vasitəsilə deyil, RAT-ın özündə gizlədilmiş icraatla istifadə olunur. Bu strateji dəyişiklik gizliliyi yaxşılaşdırır, təcavüzkarın fəaliyyətini aşkar etmək və təhlil etmək üçün onu daha çətinləşdirir.
Hücumu açıqlayan ESET tədqiqatçısı Peter Kalnai bildirib ki, “Bu hücumun ən narahatedici tərəfi yeni faydalı yük növü dizaynında və istismarında yüksək səviyyəli təkmillik nümayiş etdirən və sələfi “BlindingCan” ilə müqayisədə zərərli imkanlarda əhəmiyyətli təkmilləşdirmə təmin edən mürəkkəb və bəlkə də özünü təkmilləşdirən alət olan LightlessCan kimi seçilir”.
“HIDDEN COBRA” kimi tanınan Şimali Koreya ilə əlaqəli kiber casusluq qrupu “Lazarus”un 2009-cu ildən fəaliyyət göstərdiyi güman edilir. “Lazarus” kibercinayətkarlıq fəaliyyətinin hər üç əsas xüsusiyyətinə malikdir: casusluq, təxribat və maddi qazanc əldə etmək istəyi. Aerokosmik şirkətlər Şimali Koreya ilə əlaqəli APT qrupları üçün ümumi hədəflər kimi müəyyən edilib.
Səid Əhmədli
Gununsesi.info
