Kaspersky GReAT ekibi, Güney Kore’deki kuruluÅŸları hedef almak için üçüncü taraf yazılımlardaki güvenlik açıklarından yararlanma ile watering hole saldırısını birleÅŸtiren sofistike yeni bir Lazarus saldırı kampanyasını ortaya çıkardı. AraÅŸtırma sırasında ÅŸirket uzmanları, Güney Kore’de yaygın olarak kullanılan Innorix Agent yazılımında da sıfırıncı gün açığı keÅŸfetti ve bu açık derhal yamalandı. GITEX Asia sırasında açıklanan bulgular, Lazarus’un Güney Kore’nin yazılım ekosistemine iliÅŸkin derin kavrayışından yararlanarak nasıl son derece sofistike, çok aÅŸamalı siber saldırılar gerçekleÅŸtirebildiÄŸini vurguluyor.
Kaspersky GReAT (Global AraÅŸtırma ve Analiz Ekibi) tarafından yayınlanan yeni bir rapora göre, saldırganlar Güney Kore’de yazılım, BT, finans, yarı iletken ve telekomünikasyon sektörlerinde en az altı kuruluÅŸu hedef aldı. Ancak gerçek kurban sayısı daha da yüksek olabilir. Kaspersky araÅŸtırmacıları bu kampanyaya “Operation SyncHole” adını verdi.
En az 2009’dan beri aktif olan Lazarus Grubu, geniÅŸ kaynaklara sahip ve kötü şöhretli bir tehdit aktörü olarak biliniyor. Yakın tarihli bir kampanyada, grubun idari ve finansal sistemlerde güvenli dosya aktarımları için kullanılan ve üçüncü taraf tarayıcıya entegre bir araç olan Innorix Agent’taki bir günlük güvenlik açığından yararlandığı görüldü. Saldırganlar bu güvenlik açığından yararlanarak yanal hareketi kolaylaÅŸtırdı ve hedeflenen ana bilgisayara ek kötü amaçlı yazılım yüklenmesini saÄŸladı. Bu da nihayetinde ThreatNeedle ve LPEClient gibi Lazarus imzalı kötü amaçlı yazılımların dağıtılmasına yol açarak iç aÄŸlardaki konumunu geniÅŸletti. Bu açık, Agamemnon indiricisi aracılığıyla sunulan daha büyük bir saldırı zincirinin parçasıydı ve özellikle Innorix’in savunmasız bir sürümünü (9.2.18.496) hedef alıyordu.
Kaspersky’nin GReAT uzmanları, zararlı yazılımın davranışını analiz ederken, herhangi bir tehdit aktörü saldırılarında kullanmadan önce bulmayı baÅŸardıkları baÅŸka bir rastgele dosya indirme sıfır gün açığı da keÅŸfetti. Kaspersky, Innorix Agent’taki sorunları Kore Ä°nternet ve Güvenlik Ajansı’na (KrCERT) ve satıcıya bildirdi. Yazılım o zamandan beri yamalı sürümlerle güncellenirken, güvenlik açığına KVE-2025-0014 tanımlayıcısı atandı.
Kaspersky GReAT (Global AraÅŸtırma ve Analiz Ekibi) Güvenlik AraÅŸtırmacısı Sojun Ryu, ÅŸunları söyledi: “Siber güvenliÄŸe proaktif bir yaklaşım çok önemlidir. Derinlemesine zararlı yazılım analizimizin daha önce bilinmeyen bir güvenlik açığını herhangi bir aktif istismar belirtisi ortaya çıkmadan önce ortaya çıkarması bu zihniyet sayesinde oldu. Bu tür tehditlerin erken tespiti, sistemlerin daha geniÅŸ çapta tehlikeye girmesini önlemenin anahtarıdır.”
INNORIX ile ilgili bulgulardan önce, Kaspersky uzmanları daha önce Güney Kore’ye yönelik takip eden saldırılarda ThreatNeedle ve SIGNBT arka kapısının bir varyantının kullanıldığını keÅŸfetmiÅŸti. Zararlı yazılım, meÅŸru bir SyncHost.exe iÅŸleminin belleÄŸinde çalışıyordu ve çeÅŸitli tarayıcı ortamlarında güvenlik araçlarının kullanımını desteklemek için tasarlanmış meÅŸru bir Güney Kore yazılımı olan Cross EX’in bir alt iÅŸlemi olarak oluÅŸturulmuÅŸtu.
Kampanyanın detaylı analizi, aynı saldırı vektörünün Güney Kore’deki beÅŸ kuruluÅŸta daha tutarlı bir ÅŸekilde tespit edildiÄŸini doÄŸruladı. Her bir vakadaki bulaÅŸma zincirinin Cross EX’teki potansiyel bir güvenlik açığından kaynaklandığı görüldü ki, bu da tüm operasyondaki bulaÅŸmanın baÅŸlangıç noktası olduÄŸunu düşündürüyor. Özellikle KrCERT tarafından yayınlanan yakın tarihli bir güvenlik danışmanlığı, CrossEX’te güvenlik açığının varlığını doÄŸruladı ve bu güvenlik açığı bu araÅŸtırmanın yapıldığı zaman diliminde yamalandı.
Kaspersky GReAT (Global AraÅŸtırma ve Analiz Ekibi) Direktörü Igor Kuznetsov, ÅŸunları ifade etti: “Bu bulgular birlikte daha geniÅŸ bir güvenlik endiÅŸesini güçlendiriyor. Üçüncü taraf tarayıcı eklentileri ve yardımcı araçlar, özellikle bölgeye özgü veya eski yazılımlara dayanan ortamlarda saldırı yüzeyini önemli ölçüde artırıyor. Bu bileÅŸenler genellikle yüksek ayrıcalıklarla çalışıyor, bellekte kalıyor ve tarayıcı süreçleriyle derinlemesine etkileÅŸime giriyor. Bu da onları saldırganlar için oldukça çekici ve genellikle modern tarayıcıların kendisinden daha kolay hedefler haline getiriyor.”
SyncHole Operasyonu saldırıları nasıl başlıyor?
Lazarus Grubu, genellikle çok sayıda kullanıcı tarafından ziyaret edilen güvenliği ihlal edilmiş çevrimiçi medya web sitelerini yem olarak kullanıyor. Bu teknik, watering hole saldırıları olarak da biliniyor. Tehdit aktörleri gelen trafiği filtreleyerek ilgilendikleri kişileri tespit ediyor, bu hedefleri seçerek saldırganların kontrolündeki web sitelerine yönlendiriyor ve burada bir dizi teknik eylemle saldırı zincirini başlatıyor. Bu yöntem, grubun operasyonlarının hedefli ve stratejik doğasını vurguluyor.
Kaspersky ürünleri, bu saldırıda kullanılan açıkları ve kötü amaçlı yazılımları aşağıdaki isimlerle tespit edebiliyor: Trojan.Win64.Lazarus.*, Trojan.Win32.Lazarus.*, MEM:Trojan.Win32.Cometer.gen, MEM:Trojan.Win32.SEPEH.gen, Trojan.Win32.Manuscrypt.*, Trojan.Win64.Manuscrypt.*, Trojan.Win32.Zenpak.*
Kaspersky, Lazarus ve diğer Gelişmiş Kalıcı Tehdit (APT) saldırılarına karşı savunmak için doğru tespit, bilinen tehditlere hızlı yanıt ve güvenilir güvenlik araçları kullanımını öneriyor.
Ek tavsiyeler arasında şunlar yer alıyor:
- Saldırganların güvenlik açıklarından yararlanarak ağınıza sızmasını önlemek için kullandığınız tüm cihazlardaki yazılımları her zaman güncel tutun.
- Açıkları ve savunmasız sistemleri ortaya çıkarmak için ağlarınızda ve varlıklarınızda bir siber güvenlik denetimi gerçekleştirin ve çevrede veya ağ içinde keşfedilen zayıflıkları hızla düzeltin.
- Åžirketi çok çeÅŸitli tehditlere karşı korumak için, her büyüklükteki ve sektördeki kuruluÅŸlar için gerçek zamanlı koruma, tehdit görünürlüğü, EDR ve XDR’nin araÅŸtırma ve yanıt yeteneklerini saÄŸlayan  Kaspersky Next ürün serisindeki çözümleri kullanın
- InfoSec profesyonellerinize kurumunuzu hedef alan siber tehditler hakkında derinlemesine görünürlük sağlayın. Kaspersky Threat Intelligence, onlara tüm olay yönetimi döngüsü boyunca zengin ve anlamlı bir bağlam sağlar ve siber riskleri zamanında tespit etmelerine yardımcı olur.
