Lazarus Grubu’nun Uzaktan Çalışan Sızma Taktikleri İlk Kez Canlı İzlenebildi

Anasayfa » Lazarus Grubu’nun Uzaktan Çalışan Sızma Taktikleri İlk Kez Canlı İzlenebildi
APT, Siber Güvenlik, Tehdit İstihbaratı
Aralık 3, 2025Aralık 3, 2025Tarafından Cybernews.TR
0
Lazarus Grubu’nun Uzaktan Çalışan Sızma Taktikleri İlk Kez Canlı İzlenebildi

Saldırının Genel Çerçevesi

Son analizler, Lazarus Grubu’nun Chollima birimine bağlı olarak yürüttüğü gelişmiş bir sızma kampanyasını ortaya koydu. Bu kampanya, sahte iş ilanları aracılığıyla Batılı şirketlerde çalışan geliştiricileri hedef alıyor. Operasyon, Kuzey Koreli saldırganların gerçek zamanlı olarak kurbanların cihazlarına uzaktan erişim sağlamasına dayanıyor. Bu yöntemle, kimlik bilgileri ve çalışma istasyonları ele geçirilerek, zararlı yazılım dağıtımı olmadan tam kontrol sağlanıyor.

Saldırı Zinciri ve Teknik Detaylar

Kampanya, sahte iş teklifleriyle başlayan sosyal mühendislik saldırılarıyla başlıyor. Saldırganlar, yapay zeka destekli otomasyon araçları (Simplify Copilot, AiApply, Final Round AI) kullanarak mülakat sorularını geçiyor ve kurbanların kimlik bilgilerini (SSN, LinkedIn, Gmail hesapları) topluyor. Ardından Google Remote Desktop ve PowerShell tabanlı kalıcı erişim araçlarıyla hedef makineler üzerinde tam kontrol sağlanıyor. Bağlantılar Astrill VPN üzerinden yönlendirilerek Lazarus altyapısıyla ilişkilendirilen gizlilik sağlanıyor.

Operasyonun en dikkat çekici kısmı, ANY.RUN sandbox ortamlarında gerçek geliştirici dizüstü bilgisayarları gibi yapılandırılmış sanal makinelerin kullanılması. Bu sayede araştırmacılar, saldırganların hareketlerini kesintisiz ve güvenli şekilde izleyebildi.

Sistem Yöneticileri ve SOC Ekipleri İçin Pratik Öneriler

  • Uzaktan erişim ve kimlik doğrulama loglarını düzenli olarak analiz edin.
  • Çok faktörlü kimlik doğrulama (MFA) uygulamasını zorunlu kılın.
  • EDR çözümleri ile anormal davranışları ve kalıcı erişim girişimlerini tespit edin.
  • İşe alım süreçlerinde şüpheli aktiviteleri izlemek için IAM politikalarını güçlendirin.
  • VPN ve proxy kullanımını sıkı denetim altında tutarak bilinmeyen bağlantıları engelleyin.
  • Çalışanlara e-posta güvenliği ve sosyal mühendislik farkındalığı eğitimi verin.
  • Sandbox teknolojileri ile şüpheli aktiviteleri izleyip analiz edin.
  • Ağ segmentasyonu ve Zero Trust mimarisi ile iç tehdit riskini azaltın.

Kurumsal Ortamlarda Olası Senaryo

Örneğin, bir finans kurumunda çalışan geliştirici, sahte iş teklifiyle kandırılarak kimlik bilgilerini ve dizüstü bilgisayarına uzaktan erişim izni veriyor. Saldırganlar, bu erişimle kurumun iç ağındaki kritik sistemlere ulaşarak finansal verileri çalabilir veya fidye yazılımı saldırısı için zemin hazırlayabilir. Bu tür senaryolarda, erken tespit için olay müdahale (incident response) süreçlerinin etkinliği kritik önem taşıyor.

Teknik Özet

  • Kullanılan araçlar: ANY.RUN sandbox, Google Remote Desktop, PowerShell kalıcı erişim, yapay zeka destekli otomasyon araçları.
  • Hedef sektörler: Finans, kripto, sağlık ve mühendislik.
  • Saldırı zinciri: Sosyal mühendislik (sahte iş teklifi) → kimlik hırsızlığı → uzaktan erişim → veri toplama ve kontrol.
  • Önerilen savunma: Çok faktörlü kimlik doğrulama, EDR ve SIEM entegrasyonu, ağ segmentasyonu, kullanıcı farkındalığı eğitimi.

Bu gelişmeler, özellikle uzaktan işe alım süreçlerinin güvenliğinin artırılması gerektiğini gösteriyor. Siber güvenlik ekiplerinin, kimlik temelli tehditlere karşı hazırlıklı olması ve e-posta güvenliği, bulut güvenliği gibi alanlarda kapsamlı önlemler alması kritik önem taşıyor.

, , , , , , ,