Kuruluşunuz Lazarus Saldırılarına Karşı Güvende mi?

Lazarus Grubu'nun Kökeni

Lazarus grubu yaklaşık 2009 yılından bu yana aktiftir ve ilk büyük operasyonu 'Troy Operasyonu' olarak bilinmektedir. Aralarında 2014 Sony Pictures saldırısı, 2016 Bangladeş Bankası soygunu ve 2017 WannaCry fidye yazılımı saldırısının da bulunduğu çok sayıda yüksek profilli siber saldırıdan sorumludurlar.

Devlet destekli birçok grubun aksine Lazarus, Kuzey Kore'nin ekonomisini desteklemek için banka soygunları ve kripto para hırsızlıkları gerçekleştirerek yüksek mali motivasyona sahip.

MITRE'ye göre, Kuzey Kore tehdit grubu tanımları genellikle önemli ölçüde örtüşmektedir. Bazı güvenlik araştırmacıları, Andariel, APT37, APT38 ve Kimsuky gibi belirli kümeler veya alt gruplar arasında ayrım yapmak yerine, Kuzey Kore devlet destekli tüm siber faaliyetleri Lazarus Grubu adı altında kategorize etmektedir.

Grup Sony saldırısı için Guardians of Peace adını kullanmıştır ancak Hidden Cobra (ABD İç Güvenlik Bakanlığı ve FBI tarafından), ZINC, NICKEL ACADEMY, Diamond Sleet (Microsoft tarafından) ve Labyrinth Chollima (Crowdstrike tarafından) gibi başka isimlerle de bilinmektedir.

^{Zaman Çizelgesinin Kaynağı:}^{Trend Micro}

Hedefler

Lazarus'un Hedefleri

Lazarus'un hedef aldığı ülkeler

Grubun faaliyetleri küresel çapta takip edilmiş olup, Amerika Birleşik Devletleri, Güney Kore, Hindistan, Bangladeş ve daha geniş Asya-Pasifik bölgesinde faaliyet gösterdikleri teyit edilmiştir. Ayrıca Avrupa ve Orta Doğu'daki kuruluşları da hedef almışlardır. Lazarus, Kuzey Kore ile ekonomik yaptırımlara veya diplomatik anlaşmazlıklara dahil olan ülkeleri hedef almasıyla biliniyor.

Lazarus Group tarafından hedeflenen sektörler

Lazarus Group, devlet kurumları, finans kuruluşları, savunma müteahhitleri, kripto para borsaları ve medya şirketleri de dahil olmak üzere çeşitli bir hedefleme profili sergilemiştir. Motivasyonları siyasi casusluktan finansal hırsızlığa kadar çeşitlilik göstermekte ve Kuzey Kore rejimi için fon yaratabilecek ya da hassas bilgiler sağlayabilecek sektörlere odaklanmaktadır.

Lazarus Group tarafından hedeflenen sektörler

Lazarus Group, devlet kurumları, finans kuruluşları, savunma müteahhitleri, kripto para borsaları ve medya şirketleri de dahil olmak üzere çeşitli bir hedefleme profili sergilemiştir. Motivasyonları siyasi casusluktan finansal hırsızlığa kadar çeşitlilik göstermekte ve Kuzey Kore rejimi için fon yaratabilecek ya da hassas bilgiler sağlayabilecek sektörlere odaklanmaktadır.

Lazarus'un Kurbanları

Önemli kurbanlar arasında Sony Pictures (2014), Bangladeş Bankası (2016) ve çeşitli kripto para borsaları bulunmaktadır. Finans sektöründeki faaliyetleri, özellikle yıkıcı malware ve soygunlar yoluyla, milyonlarca zarara neden olmuştur. Grup ayrıca Güney Kore kurumlarına karşı siber casusluk kampanyaları yürütmüştür.

Saldırı Yöntemi

Lazarus Grubu'nun Saldırı Yöntemi

Bilgisayarlar, akıllı telefonlar ve tabletler gibi çeşitli cihazlarla dolu dijital bir manzara üzerinde geniş bir ağ atan gölgeli bir figür. Ağ, saldırganın güvenlik açıklarını bulma veya yetkisiz erişim elde etmek için phishing tekniklerini kullanma girişimlerini sembolize eder.

Lazarus ilk erişimi elde etmek için sıklıklaphishing kampanyalarını kullanmakta ve genellikle özel malware adresini sunan kötü amaçlı ekler veya bağlantılar kullanmaktadır.

Temel bir kullanıcı simgesinden yukarıya, yönetici ayrıcalıklarını simgeleyen bir taca doğru uzanan dijital bir merdiven. Bu, saldırganın sistem içinde daha üst düzey erişim elde etme çabalarını temsil eder.

Erişim sağladıktan sonra, ayrıcalıkları yükseltmek ve ağlarda daha derine inmek için rootkit veya özel malware gibi araçlar kullanırlar.

Dijital bir arka plana karışan, etrafında sıfırlar ve birler akan bir bukalemun. Bu, saldırganın normal ağ trafiğine karışmak için taktik değiştirerek güvenlik önlemleri tarafından tespit edilmekten kaçınma yeteneğini temsil eder.

Grup, güvenlik yazılımını devre dışı bırakmak, çalıntı sertifikalardan yararlanmak veya sıfırıncı gün açıklarından yararlanmak gibi teknikler kullanarak güvenlik önlemlerinden kaçmakta ustadır.

Giriş formu şeklindeki dev bir anahtar deliği üzerinde çalışan maymuncuk aletine sahip bir hırsız, saldırganın yetkisiz erişim elde etmek için kullanıcı kimlik bilgilerini çalma çabalarını temsil ediyor.

Lazarus, genellikle yüksek ayrıcalıklı hesapları hedef alarak kullanıcı kimlik bilgilerini toplamak için tuş kaydediciler, kimlik bilgisi boşaltma araçları ve istismarlar kullanır.

Bir ağın dijital haritası üzerinde hareket eden ve dosyaları, klasörleri ve ağ bağlantılarını vurgulayan bir büyüteç. Bu görüntü, saldırganların yapıyı ve değerli verilerin nerede bulunduğunu anlamak için ortamı keşfettikleri aşamayı temsil eder.

Bir sisteme girdiklerinde, yerleşik komutları ve PowerShell gibi araçları kullanarak kritik sistemleri ve veri havuzlarını belirlemek için ağ keşfi yaparlar.

Gölgeli bir figürün aralarında gizlice hareket ettiği bir dizi birbirine bağlı düğüm. Bu, ek sistemlerin kontrolünü ele geçirmek veya malware adresini yaymak isteyen saldırganın ağ içindeki hareketlerini göstermektedir.

Lazarus, geçerli kimlik bilgileri, uzak masaüstü protokolleri (RDP) kullanarak veya sistemler arasındaki güven ilişkilerinden yararlanarak ağlar arasında yanal olarak hareket eder.

Dosyaları, veri simgelerini ve klasörleri gölgeli bir figür tarafından tutulan bir torbaya emen büyük bir vakum. Bu görüntü, hedef ağdan değerli verilerin toplanması sürecini sembolize eder.

Hassas veriler genellikle dosya paylaşım hizmetleri veya malware gibi özel sızma özelliklerine sahip araçlar aracılığıyla toplanır ve finansal veriler, kripto para cüzdanları ve gizli belgeler hedeflenir.

Dijital bir arka planın önünde açılan ve kötü amaçlı kod yazılan bir komut istemi penceresi. Bu, saldırganların ele geçirilen sistem içinde kötü amaçlı yüklerini çalıştırdıkları aşamayı temsil eder.

Grup, komutları uzaktan çalıştırmak ve kalıcılığı sağlamak için Manuscrypt ve Destover gibi özel arka kapılar kullanıyor.

Bir bilgisayardan gizli bir kanal aracılığıyla kurukafa ile etiketlenmiş bir buluta aktarılan bir dizi dosya, verilerin saldırgan tarafından kontrol edilen bir konuma izinsiz olarak aktarılmasını sembolize eder.

Çalınan veriler, tehlikeye atılmış web sunucuları, FTP sunucuları veya şifrelenmiş iletişim kanalları kullanılarak dışarı sızdırılır ve böylece bilgilerin komuta ve kontrol altyapısına ulaşması sağlanır.

Arkasında kaos içinde dijital bir şehir manzarası olan kırık bir ekran, siber saldırının hizmet kesintisi, veri imhası veya mali kayıp gibi yıkıcı etkisini sembolize eder.

Finansal operasyonlarda, Lazarus genellikle hırsızlık sonrası sistemleri bozar ve izlerini örtmek için silecek malware kullanır. Fidye yazılımı kampanyalarına ve veri imhasına karışarak kurbanları üzerindeki etkiyi daha da artırmışlardır.

İlk Erişim

Lazarus ilk erişimi elde etmek için sıklıklaphishing kampanyalarını kullanmakta ve genellikle özel malware adresini sunan kötü amaçlı ekler veya bağlantılar kullanmaktadır.

Ayrıcalık Yükseltme

Erişim sağladıktan sonra, ayrıcalıkları yükseltmek ve ağlarda daha derine inmek için rootkit veya özel malware gibi araçlar kullanırlar.

Savunma Kaçırma

Grup, güvenlik yazılımını devre dışı bırakmak, çalıntı sertifikalardan yararlanmak veya sıfırıncı gün açıklarından yararlanmak gibi teknikler kullanarak güvenlik önlemlerinden kaçmakta ustadır.

Kimlik Bilgileri Erişimi

Lazarus, genellikle yüksek ayrıcalıklı hesapları hedef alarak kullanıcı kimlik bilgilerini toplamak için tuş kaydediciler, kimlik bilgisi boşaltma araçları ve istismarlar kullanır.

Keşif

Bir sisteme girdiklerinde, yerleşik komutları ve PowerShell gibi araçları kullanarak kritik sistemleri ve veri havuzlarını belirlemek için ağ keşfi yaparlar.

Yanal Hareket

Lazarus, geçerli kimlik bilgileri, uzak masaüstü protokolleri (RDP) kullanarak veya sistemler arasındaki güven ilişkilerinden yararlanarak ağlar arasında yanal olarak hareket eder.

Koleksiyon

Hassas veriler genellikle dosya paylaşım hizmetleri veya malware gibi özel sızma özelliklerine sahip araçlar aracılığıyla toplanır ve finansal veriler, kripto para cüzdanları ve gizli belgeler hedeflenir.

Yürütme

Grup, komutları uzaktan çalıştırmak ve kalıcılığı sağlamak için Manuscrypt ve Destover gibi özel arka kapılar kullanıyor.

Sızma

Çalınan veriler, tehlikeye atılmış web sunucuları, FTP sunucuları veya şifrelenmiş iletişim kanalları kullanılarak dışarı sızdırılır ve böylece bilgilerin komuta ve kontrol altyapısına ulaşması sağlanır.

Etki

Finansal operasyonlarda, Lazarus genellikle hırsızlık sonrası sistemleri bozar ve izlerini örtmek için silecek malware kullanır. Fidye yazılımı kampanyalarına ve veri imhasına karışarak kurbanları üzerindeki etkiyi daha da artırmışlardır.

MITRE ATT&CK Haritalama

TA0001: Initial Access

No items found.

TA0002: Execution

No items found.

TA0003: Persistence

T1053

Scheduled Task/Job

TA0004: Privilege Escalation

T1053

Scheduled Task/Job

TA0005: Defense Evasion

T1218

System Binary Proxy Execution

T1562

Impair Defenses

TA0006: Credential Access

T1003

OS Credential Dumping

TA0007: Discovery

No items found.

TA0008: Lateral Movement

No items found.

TA0009: Collection

No items found.

TA0011: Command and Control

T1105

Ingress Tool Transfer

TA0010: Exfiltration

No items found.

TA0040: Impact

T1490

Inhibit System Recovery

Platform Tespitleri

Lazarus ile Nasıl Tespit Edilir Vectra AI

File Share Enumeration

Hidden HTTPS Tunnel

Privilege Anomaly: Unusual Account on Host

Suspicious Port Sweep

Daha fazla algılama görüntüleyin

Saldırıya maruz kalma durumunuzu değerlendirin

Sıkça Sorulan Sorular

Lazarus Group ne ile tanınıyor?

Lazarus Group, 2014 Sony Pictures saldırısı ve 2016 Bangladeş Bankası soygunu da dahil olmak üzere siber casusluk ve büyük ölçekli finansal hırsızlıkla tanınıyor.

Lazarus Group'u motive eden nedir?

Faaliyetleri, siyasi misilleme, casusluk ve yasadışı faaliyetler yoluyla mali kaynak yaratmak da dahil olmak üzere Kuzey Kore devletinin çıkarları tarafından yönlendirilmektedir.

Lazarus hedef sistemlere ilk erişimi nasıl elde eder?

malware adresine göndermek için sıklıkla kötü amaçlı ekler veya bağlantılar içerenphishing kampanyalarını kullanırlar.

Lazarus'un yaygın olarak hedef aldığı sektörler hangileridir?

Lazarus finans kurumlarını, kripto para borsalarını, medya şirketlerini ve devlet kurumlarını hedef alıyor.

Lazarus Group ile ilişkili malware araçları nelerdir?

Manuscrypt, Destover ve çeşitli özel arka kapılar ve siliciler gibi araçlarla ilişkilidirler.

Lazarus Group'un tespit edilmesini zorlaştıran nedir?

Lazarus, güvenlik yazılımını devre dışı bırakmak, malware adresini gizlemek ve şifreli iletişim kanalları kullanmak gibi gelişmiş savunma atlatma teknikleri kullanır.

Lazarus mali suçlarda nasıl bir rol oynuyor?

Grup, bankalardan ve kripto para platformlarından para çalmanın yanı sıra kurbanları haraca bağlamak için fidye yazılımı ve yıkıcı saldırılar düzenliyor.

Kuruluşlar Lazarus Grubu faaliyetlerini nasıl tespit edebilir?

Kuruluşlar, anormal uygulama katmanı protokolleri, geçerli hesapların şüpheli kullanımı ve olağandışı kimlik bilgisi erişim etkinliği gibi bilinen TTP'leri izlemelidir.

Lazarus Grubuna karşı bazı savunma önlemleri nelerdir?

Çok faktörlü kimlik doğrulama (MFA), güçlü ağ segmentasyonu, güvenlik açıklarının zamanında yamalanması ve gelişmiş tehdit algılama araçlarının uygulanması saldırılarını azaltabilir.

Lazarus Group fidye yazılımı saldırılarına karıştı mı?

Evet, finansal kazancı en üst düzeye çıkarmak ve kurbanların operasyonlarını kesintiye uğratmak için bazı kampanyalarında fidye yazılımı kullandılar.