Lazarus’un parmak izlerinin, adı açıklanmayan bir İspanyol havacılık firmasına yapılan son saldırının her yerinde olduğunu belirten güvenlik şirketi ESET, olayın neredeyse aynı giriş taktiklerini kullanan önceki Lazarus saldırılarını taklit ettiğini belirtti. ESET, bu kötücül yazılım saldırısının, Amazon’da sahte işler sunan bir saldırıda kullanılan şifreleme türlerine kadar Operation Dream Job olarak bilinen Lazarus saldırısının tüm özelliklerini taşıdığını iddia ediyor.
Diğer saldırılarda olduğu gibi, şüpheli Lazarus bilgisayar korsanları, adı açıklanmayan İspanyol havacılık firmasındaki çalışanlarla iletişime geçmek için LinkedIn’i kullandı. Meta’dan işe alım görevlileri gibi davranan Lazarus ajanları, bir çift kodlama yarışması indirmeyi önerdi. Bu dosyalar, yazdırıldığında bir yükü tetikleyen ve kötücül yazılım yükleyen saldırı koduyla birlikte paketlenmişti. ESET, saldırıların ve diğer Dream Job ihlallerinin amacının casusluk olduğunu iddia ediyor. ESET kıdemli zararlı yazılım araştırmacısı Peter Kálnai, “Bir havacılık ve uzay şirketinin know-how’ını çalmak, Lazarus tarafından ortaya konan uzun vadeli hedeflerle uyumlu görünüyor” diyor.
Lazarus Grubu’nun faaliyetleri daha önce de havacılık, kimyasal üretim ve diğer ulusal kritik sektörler de dahil olmak üzere çok sayıda yüksek profilli kuruluşu hedef almıştı. Lazarus ayrıca bir dizi kripto para soygunu gerçekleştirmiş ve 2015 yılında Sony Pictures’ın hacklenmesi olayını üstlenmişti. Amazon Dream Job kampanyası da dahil olmak üzere önceki kötücül yazılım saldırılarında Lazarus, BlindingCan olarak bilinen bir uzaktan erişim Truva atı kullanmıştı.
ESET’ten Kálnai, bu son saldırıda 68 komutu destekleyen “LightlessCan” adlı yükseltilmiş bir kötü amaçlı yazılım aracının kullanıldığını, ancak bu komutlardan yalnızca 43’ünün uygulanmış göründüğünü söylüyor. ESET analistleri, LightlessCan’in daha önceki saldırılarda kullanılan BlindingCan kaynak koduna dayandığına inanıyor, çünkü paylaşılan komutların sırası “indekslemelerinde farklılıklar olsa da önemli ölçüde korunuyor.”
LightlessCan adı verilen kötücül yazılım, hedef bilgisayara taklit edilmiş Windows komut işlevselliği ekliyor ve aslında ne yaptığını gizlemek için çıktı olarak kodlanmış bir “İşlem başarıyla tamamlandı” dizesiyle ping, ipconfig, systeminfo, sc, net ve benzeri komutları taklit ediyor. Buna ek olarak ESET, komutların sistem konsolunda yürütülmek yerine RAT’ın (uzaktan erişimli Trojan) kendi içinde gizlice yürütüldüğünü belirtti.
ESET araştırmacıları bunu yapmanın “hem EDR’ler gibi gerçek zamanlı izleme çözümlerinden hem de saldırı sonrası dijital adli tıp araçlarından kaçmak için gizlilik açısından önemli bir avantaj sağladığını” yazdı. ESET, “Saldırganlar artık ele geçirme sonrası faaliyetlerinde yoğun olarak kullandıkları favori Windows komut satırı programlarının yürütme izlerini önemli ölçüde sınırlayabiliyor” diyor ve ekliyor: “Bu manevra, hem gerçek zamanlı izleme çözümlerinin hem de saldırı sonrası dijital adli tıp araçlarının etkinliğini etkileyen geniş kapsamlı etkilere sahip.”