Haberler
Lazarus; LinkedIn, WhatsApp ve Slack’i Kötüye Kullanarak Türk Şirketleri Hedef Aldı
Siber korsanlar sosyal medyayı, özellikle de LinkedIn’i, saldırgan ile çalışanlar arasında güven oluşturmak için kullandılar…
Bir siber güvenlik şirketi tarafından düzenlenen konferans kapsamında Lazarus APT grubu ve bu grubun 2021’in sonları ile Mart-2022 arasındaki dönemde, dünyanın dört bir yanındaki savunma yüklenicilerine yönelik saldırıları hakkında yeni bilgiler paylaşıldı. Aktarılan bilgiye göre Fransa, İtalya, İspanya, Almanya, Çek Cumhuriyeti, Hollanda, Polonya, Ukrayna, Katar ve Brezilya ile birlikte Türkiye de hedeflenen ülkeler arasındaydı. LinkedIn ve WhatsApp mesajlarını kullanan siber korsanlar, ‘sahte işe alım’ vaatleri ile kilit rollerdeki çalışanları hedefledi.
Güvenlik araştırmacıları, 2020 gibi erken bir tarihte, Lazarus’un bir alt grubu tarafından Avrupalı havacılık ve savunma yüklenicilerine karşı yürütülen ve In(ter)ception operasyonu olarak adlandırılan bir kampanyayı zaten belgelemişlerdi. Bu kampanya sırasında kullanılan zararlılar farklı olsa da amaç yine aynıydı: Sosyal medyayı, özellikle LinkedIn’i, saldırgan ile çalışanlar arasında güven oluşturmak için kullandılar ve zararlı bileşeni gizli bir şekilde göndererek çalışanların açmalarını sağladılar. O dönemde Brezilya, Çek Cumhuriyeti, Katar, Türkiye ve Ukrayna’daki şirketler hedef alınmıştı.
Eylemin çoğunlukla Avrupalı şirketlere saldırmaya yönelik olduğuna inanılıyordu, ancak savunma yüklenicilerine karşı benzer kampanyalar yürüten bir dizi Lazarus alt grubu izlendiğinde, kampanyanın çok daha geniş bir alana yayıldığı fark edildi. Çeşitli kampanyalarda kullanılan kötü amaçlı yazılımlar farklı olsa da ilk çalışma şekli her zaman aynı kaldı: Sahte bir işe alım uzmanı LinkedIn aracılığıyla bir çalışanla iletişime geçti ve sonunda kötü amaçlı bileşenler gönderdi.
Bu bağlamda, geçmişte olduğu gibi aynı yöntem ile devam ettiler. Bununla birlikte araştırmacılar, sahte işe alım kampanyalarına meşruiyet katmak için yasal işe alım kampanyası öğelerinin kullanıldığını da belgeledi. Ek olarak, saldırganlar kötü amaçlı kampanyalarında LinkedIn ve WhatsApp’in yanı sıra Slack gibi hizmetleri de kullandılar.
