İş Teklifi Görünümlü Siber Casusluk Operasyonu

🚨 Kuzey Kore Bağlantılı Lazarus Grubu, Avrupa’daki Drone Üreticilerini Hedef Aldı! İş Teklifi Görünümlü Siber Casusluk Operasyonu! Kuzey Kore ile bağlantılı olduğu bilinen Lazarus siber casusluk grubu, Avrupa’da faaliyet gösteren savunma ve İHA üreticisi şirketleri hedef aldı. Siber güvenlik devi ESET, saldırıların sahte iş teklifleriyle yürütülen Operation DreamJob adlı kampanyanın yeni bir aşaması olduğunu açıkladı.

Yeni saldırı dalgasında Orta ve Güneydoğu Avrupa merkezli üç savunma sanayi şirketi hedef alınırken, saldırıların Pyongyang’ın drone üretim kapasitesini artırma planlarıyla doğrudan ilişkili olabileceği değerlendiriliyor.

ESET araştırmacılarına göre saldırılarda, hedef firmalara “kârlı iş teklifi” başlığıyla e-posta gönderilerek zararlı yazılım içeren belgeler paylaşıldı. Bu belgeler, ScoringMathTea adlı gelişmiş bir uzaktan erişim truva atı (RAT) yüklüyordu. Yazılım, saldırganlara hedef sistem üzerinde tam kontrol sağlıyor ve üretim süreçleriyle ilgili gizli bilgileri dışarı sızdırıyor.

Drone Üretimi Üzerine Odaklanmış Casusluk

ESET araştırmacıları Peter Kálnai ve Alexis Rapin, saldırıların özellikle İHA üretim süreçlerine dair know-how elde etmeyi amaçladığını belirtti.

“Hedef alınan kuruluşlardan biri, Ukrayna’da kullanılan iki farklı İHA modelinin üretiminde yer alıyor. Bu, Lazarus grubunun Pyongyang’ın geliştirdiği tek motorlu drone’lara benzer sistemler üzerine bilgi toplamaya çalıştığını gösteriyor.”

Elde edilen bulgular, Lazarus’un Avrupa’daki savunma şirketlerine sızarak Kuzey Kore’nin yerli drone teknolojisini tersine mühendislik yöntemiyle geliştirmeye çalıştığına işaret ediyor.

Operasyonun Arka Planı

Operasyon DreamJob, Lazarus grubunun sahte iş ilanları üzerinden yürüttüğü uzun soluklu bir casusluk kampanyası olarak biliniyor.

• Hedef sektörler: havacılık, savunma, mühendislik, teknoloji ve medya

• Saldırı yöntemi: sosyal mühendislik + trojanize edilmiş PDF dosyaları

• Ana amaç: kurumsal gizli bilgilerin ve üretim verilerinin çalınması

ESET verilerine göre Lazarus’un kullandığı ScoringMathTea zararlısı, 2022’den bu yana Almanya, Portekiz, Polonya, Hindistan ve İtalya’daki firmaları da hedef aldı.

Grubun taktikleri arasında GitHub’daki açık kaynaklı yazılımları trojanize etmek, DLL proxy’leriyle kaçınma yöntemleri geliştirmek ve çok katmanlı yükleme zinciri oluşturmak yer alıyor.

Küresel Tehdit Profili

ESET uzmanları Lazarus’u “siber casusluk, sabotaj ve mali kazanç peşinde koşan üçlü tehdit” olarak tanımlıyor. 2009’dan beri aktif olan grup, HIDDEN COBRA adıyla da anılıyor ve bugüne kadar çok sayıda kritik altyapı ve finans kuruluşuna saldırı düzenledi.

📘 Özet Bilgi Kutusu

Saldırı Grubu: Lazarus (HIDDEN COBRA)
Operasyon Adı: Operation DreamJob
Hedefler: Avrupa’daki savunma ve drone üreticileri
Zararlı Yazılım: ScoringMathTea (RAT)
Amaç: İHA üretim know-how ve stratejik savunma verilerini çalmak
İlişkilendirilen Ülke: Kuzey Kore

❓ Sıkça Sorulan Sorular

1. Lazarus kimdir?
Lazarus, Kuzey Kore bağlantılı bir APT (Gelişmiş Sürekli Tehdit) grubudur. 2009’dan beri aktif olan grup, siber casusluk, sabotaj ve finansal saldırılarla tanınır.

2. Operation DreamJob nedir?
Bu operasyon, sahte iş teklifleri üzerinden sosyal mühendislikle yapılan siber casusluk kampanyasıdır. Hedef alınan kişiler “hayalinizdeki iş” başlığıyla gönderilen zararlı dosyalarla kandırılır.

3. Neden özellikle drone üreticileri hedef alındı?
Pyongyang yönetiminin yerli İHA geliştirme kapasitesini artırmak için Avrupa’daki bilgi birikiminden faydalanmaya çalıştığı değerlendiriliyor.

4. Şirketler kendilerini nasıl koruyabilir?

• Şüpheli e-posta eklerini açmamak

• Güncel antivirüs yazılımları kullanmak

• Siber farkındalık eğitimlerini artırmak

• Kritik verileri segmentlere ayırarak saklamak öneriliyor.

Kaynak: Startup Gazetesi