Son hedefler arasında, nükleer alanla ilgili bir kuruluşun çalışanları bulunuyor. Bu kişiler, IT profesyonelleri için hazırlanan yetenek değerlendirme testleri gibi görünen, tehlikeli hale getirilmiş üç farklı arşiv dosyası aracılığıyla enfekte edildi. Süregelen bu kampanya, yeni keşfedilen ve açık kaynaklı bir eklenti gibi gizlenen CookiePlus adlı modüler bir arka kapı yazılımı da dahil olmak üzere, gelişmiş kötü amaçlı yazılımlar kullanıyor.
Kaspersky'nin Küresel Araştırma ve Analiz Ekibi (GReAT), kötü şöhretli Lazarus grubuyla bağlantılı olan ve "DeathNote" olarak da bilinen Operation DreamJob ile ilişkili yeni bir kampanya keşfetti. İlk olarak 2019 yılında ortaya çıkan ve dünya genelindeki kripto para işletmelerini hedef alan bu kampanya, yıllar içinde önemli ölçüde evrildi. 2024 yılında, Avrupa, Latin Amerika, Güney Kore ve Afrika'daki IT ve savunma şirketlerini hedef alacak şekilde genişledi. Kaspersky'nin son raporu, bu operasyonun yeni bir aşamasına dair önemli bilgiler sunuyor. Rapora göre, kampanya Brezilya'daki nükleer bağlantılı bir kuruluşun çalışanlarını ve Vietnam'daki kimliği belirsiz bir sektörde çalışan bireyleri hedef alıyor.
Bir ay içerisinde Lazarus, aynı kuruluştan en az iki çalışanı hedef alarak, önde gelen havacılık ve savunma şirketlerindeki IT pozisyonları için yetenek değerlendirme testleri gibi görünen birden fazla arşiv dosyası gönderdi. İlk aşamada, Lazarus aynı kuruluştaki A ve B isimli iki çalışana bu arşiv dosyalarını ulaştırdı. Bir ay sonra ise ilk hedef üzerinde daha agresif saldırılar gerçekleştirmeye çalıştı. İlk talimatları iletmek ve hedeflere erişim sağlamak için muhtemelen LinkedIn gibi iş arama platformlarını kullandılar.
Lazarus, dağıtım yöntemlerini geliştirerek ve farklı türlerde kötü amaçlı yazılımları içeren karmaşık bir enfeksiyon zinciriyle kalıcılığını artırarak faaliyetlerini sürdürüyor. Bu yöntemler arasında bir indirici, yükleyici ve arka kapı yazılımı yer alıyor. Grup, trojanlaştırılmış VNC yazılımı, Windows için uzaktan masaüstü görüntüleyici ve başka bir yasal VNC aracı kullanarak çok aşamalı bir saldırı gerçekleştirdi. İlk aşamada, kötü amaçlı bir AmazonVNC.exe dosyası kullanılarak, VNC yürütülebilir dosyasının dahili kaynaklarını çıkarmak için Ranid Downloader adlı bir indirici şifresi çözüldü ve çalıştırıldı. İkinci bir arşiv, MISTPEN adlı kötü amaçlı yazılımı yükleyen kötü amaçlı bir vnclang.dll dosyasını içeriyordu. Bu yazılım, RollMid ve LPEClient’ın yeni bir varyantı da dahil olmak üzere ek yükleri indirdi.
