25 Ekim 2024 – Kaspersky’nin Global Araştırma ve Analiz Ekibi (GReAT), kripto para yatırımcılarını hedef alan Lazarus Gelişmiş Kalıcı Tehdit (APT) grubunun karmaşık bir saldırı kampanyasını ortaya çıkardı. Saldırganlar, Google Chrome’daki sıfırıncı gün açığını kullanarak sahte bir kripto oyunu web sitesi aracılığıyla kullanıcıların cüzdan kimlik bilgilerini çalmayı başardılar.
Saldırı Detayları ve Kullanılan Yöntemler
Mayıs 2024’te Kaspersky uzmanları, Lazarus grubuna ait bir saldırı tespit etti. Bu saldırıda, 2013’ten beri çeşitli sektörlere yönelik 50’den fazla kampanyada belgelenmiş Manuscrypt kötü amaçlı yazılımı kullanıldı. Yapılan analizler, saldırganların sosyal mühendislik teknikleri ve üretken yapay zeka kullanarak kripto para yatırımcılarına yönelik sofistike bir kampanya yürüttüğünü ortaya koydu.
Lazarus, kripto para platformlarına yönelik gelişmiş saldırılarıyla tanınırken, yeni kampanyasında Google’ın açık kaynaklı JavaScript ve WebAssembly motoru V8’de daha önce bilinmeyen bir hata da dahil olmak üzere iki güvenlik açığından yararlandığı tespit edildi. Bu sıfırıncı gün açığı, Kaspersky tarafından Google’a bildirildikten sonra CVE-2024-4947 koduyla düzeltildi. Açık, saldırganların rastgele kod çalıştırmasına ve çeşitli kötü amaçlı etkinlikler gerçekleştirmesine olanak tanıyordu.
Sosyal Medya ve Yapay Zeka Entegrasyonu
Saldırganlar, kullanıcıları NFT tanklarıyla küresel çapta rekabet etmeye davet eden özenle tasarlanmış sahte bir oyun web sitesine çekerek güven oluşturdular. Tanıtım faaliyetleri için X (eski adıyla Twitter) ve LinkedIn’de sosyal medya hesapları oluşturuldu ve yapay zeka tarafından üretilen görüntüler kullanılarak güvenilirlik artırılmaya çalışıldı.
Kaspersky uzmanları, Lazarus’un üretken yapay zekayı operasyonlarına başarıyla entegre ettiğini belirtti. Saldırganların bu teknolojiyi kullanarak daha karmaşık saldırılar tasarlamaları bekleniyor.
Geniş Etkiler ve Olası Sonuçlar
Kaspersky GReAT Baş Güvenlik Uzmanı Boris Larin, “APT aktörlerinin daha önce finansal kazanç peşinde koştuğunu görmüş olsak da bu kampanya gerçekten benzersizdi. Saldırganlar, bir Google Chrome sıfır gün açığından faydalanarak tamamen işlevsel bir oyunu kılıf olarak kullanarak tipik taktiklerin ötesine geçtiler,” dedi.
Saldırganların, oyunun öncü prototipi olduğu belirtilen yasal bir oyun ile ilgili bir kampanya başlattığı da tespit edildi. Kaspersky uzmanları, bu benzerliklerin ve örtüşmelerin, Lazarus üyelerinin saldırılarına güvenilirlik kazandırmak için büyük çaba sarf ettiğini gösterdiğini belirtti.
Kampanyanın ayrıntıları, Güvenlik Analistleri Zirvesi 2024’te paylaşıldı. Daha fazla bilgi için Kaspersky’nin Securelist.com adresini ziyaret edebilirsiniz.
