Lazarus, Avrupa’da İHA ve drone üreticilerini hedef alıyor
Siber güvenlik firması ESET, Kuzey Kore bağlantılı olarak izlenen Lazarus grubu çatısı altındaki Operation DreamJob kampanyasının Avrupa’daki savunma sanayii şirketlerini hedef alan yeni bir dalgasını raporladı. ESET’in araştırmasına göre saldırganlar, özellikle insansız hava aracı (İHA/drone) üreticilerine yönelik sosyal mühendislik temelli yöntemlerle ilk erişimi sağlıyor ve hedeflenen kurumlardan hassas üretim bilgileri ile know-how çalmayı amaçlıyor.
Sahte iş teklifi ile ilk erişim
ESET araştırmacıları, operasyonun ana temasının sahte bir iş teklifi olduğunu ve hedeflere gönderilen yem belgelerle kurbanların tuzağa düşürüldüğünü aktarıyor. Kurbanlar genellikle iş tanımı içeren bir belge alıyor ve belgeyi açmak için trojanize edilmiş bir PDF okuyucu yüklemeye yönlendiriliyor. Bu ilk adım, sosyalmühendislik yoluyla sağlanan erişimin ardından ana yükün çalıştırılmasına olanak veriyor.
ScoringMathTea: yetenekleri ve geçmiş saldırılar
Ana zararlı yazılım olarak tespit edilen ScoringMathTea, saldırganlara ele geçirilen makineler üzerinde tam kontrol sağlayan karmaşık bir uzaktan erişim truva atı (RAT) olarak tanımlanıyor. ESET’in telemetrisi, ScoringMathTea’nin dosya ve süreç yönetimi, sistem bilgisi toplama, TCP bağlantıları açma ve uzaktan komut yürütme gibi yaklaşık 40 işlevi desteklediğini gösteriyor.
ScoringMathTea ilk kez Ekim 2022’de VirusTotal başvurularında izlenmiş; geçmişte Portekiz, Almanya, Polonya, Hindistan, İngiltere ve Eylül 2025’te İtalya’daki hedeflere yönelik kullanımları rapor edildi.
Hedefler ve olası amaç: İHA üretimine ilgi
ESET, hedef kurumların İHA ve askeri teçhizat tedarik zincirinde rol oynadığını belirtiyor. Operasyon sırasında Rusya-Ukrayna savaşında kullanılan bazı batı yapımı sistemlerle ilgili hassas bilgiler toplanıyor olabileceği ifade ediliyor. Araştırmacılar, kampanyada gözlemlenen dropper’lardan birinde “drone” ifadesinin bulunmasının, Lazarus’un İHA ile ilgili bilgi ve üretim süreçlerine özel ilgi duyduğuna işaret ettiğini belirtti.
Lazarus’un taktiksel evrimi ve tespit kolaylığı
Raporda, Lazarus’un araçlarını sıkça ve birden fazla hedefe karşı kullanmasının, bu araçların görünür hale gelmesine neden olduğu belirtiliyor. Grubun son dönemde DLL proxy’leri için yeni kütüphaneler geliştirdiği ve trojanize edilecek açık kaynak projeleri seçme konusunda daha sofistike davrandığı kaydedildi. Buna rağmen saldırı zincirindeki dropper, yükleyici ve indirici çeşitliliği nedeniyle güvenlik araştırmacılarının bu kampanyaları tespit etmesine olanak sağlanıyor.
ESET araştırmacıları Peter Kálnai ve Alexis Rapin, Operation DreamJob’un en azından kısmen İHA’larla ilgili özel bilgileri ve üretim know-how’ını çalmaya yönelik olduğunu belirtti. ESET, tespit edilen örneklerin Lazarus’un daha önce hedeflediği sektörlerle (havacılık, savunma, mühendislik) örtüştüğünü vurguladı.
Korunma önerileri ve sonuç
ESET’in raporuna göre kurumların alması gereken önlemler arasında güçlü e-posta filtreleme, şüpheli iş tekliflerine karşı farkındalık eğitimi, trojanize edilmiş yazılımlara karşı uygulama beyaz listesi politikaları ve uç nokta tespit/önleme çözümlerinin güncel tutulması bulunuyor. Raporda ayrıca, açık kaynak projelerin kötü amaçlı olarak değiştirilmesine karşı tedarik zinciri güvenliğinin güçlendirilmesi gerektiği ifade ediliyor.
Lazarus (HIDDEN COBRA) olarak da bilinen grup, 2009’dan beri aktif bir APT oyuncusu olarak tanımlanıyor ve hem siber casusluk hem siber sabotaj hem de mali kazanç amaçlı operasyonlar yürütüyor. Operation DreamJob ise Lazarus’un sosyal mühendislik tabanlı ve sahte iş teklifi içeren kampanyalarının bir kod adı olarak kullanılıyor.
