“Blockchain Freezing Exposed: Examine The Impact of Fund Freezing Ability in Blockchain” başlıklı rapor, blok zincirlerinin hack ve güvenlik ihlalleri gibi olayları kontrol altına almak amacıyla kullanıcı işlemlerine nasıl müdahale edebildiğini inceleyen blok zincirlerinde fon dondurma mekanizmalarının incelendiği nadir kapsamlı çalışmalardan biri olarak öne çıkıyor.

Rapor kapsamında, 166 blok zinciri ağı, yapay zeka destekli bir analiz aracı ve manuel doğrulama yöntemiyle değerlendirildi (raporda metodoloji ayrıntılı olarak açıklanmaktadır). Bulgulara göre, 16 ağda halihazırda fon dondurma mekanizması bulunuyor. Ayrıca 19 ağın, protokolde yapılacak nispeten küçük değişikliklerle benzer mekanizmaları devreye alabileceği belirlendi.

Çalışmada üç tür fon dondurma mekanizması tanımlanıyor:
●    Hardcoded (koda gömülü) dondurma — doğrudan blok zinciri koduna yazılmış mekanizmalar (BNB Chain, VeChain)
●    Konfigürasyon tabanlı dondurma — validator veya vakıf ayarları üzerinden yönetilen mekanizmalar (Sui, Aptos)
●    Zincir üzerindeki sistem kontratlarıyla çalışan dondurma (HECO)
Raporda öne çıkan bazı örnekler şöyle:
●    Sui, Cetus saldırısı sonrasında çalınan 162 milyon doları dondurdu.
●    Aptos, bu olayın ardından kara listeleme fonksiyonlarını sisteme ekledi.
●    BNB Chain, 570 milyon dolarlık köprü exploit’ini kontrol altına almak için hardcoded kara liste kullandı.
●    VeChain, 2019’da gerçekleşen 6,6 milyon dolarlık ihlal sonrasında fonları dondurarak erken bir örnek teşkil etti.
●    Cosmos’un modüler hesap yapısının gelecekte benzer müdahalelere imkân verebileceği belirtiliyor.

Bu örnekler, bazı blok zincirlerinin güvenlik ihlalleri sonrasında kullanıcı kayıplarını sınırlamaya yönelik teknik önlemler uygulayabildiğini göstermektedir.

Konu ile ilgili açıklama yapan Bybit Grup Risk Kontrolü ve Güvenlik Başkanı David Zong, “Blok zinciri, merkeziyetsizlik ilkesine dayanıyor, ancak araştırmamız birçok ağın tehditlere hızlı yanıt verebilmek için pragmatik güvenlik çözümleri geliştirdiğini ortaya koyuyor. Bybit, şeffaflık ve açık iletişim ilkelerini destekleyen sektör uygulamalarının gelişimini önemsemektedir.” dedi. 

Lazarus Security Lab, rapor kapsamında kullanılan bir yapay zeka tabanlı analiz çerçevesinden yararlandı. Ardından uzman ekip, her bir bulguyu doğrulamak için manuel inceleme gerçekleştirdi.

Çalışma, acil durum müdahale mekanizmalarına ilişkin şeffaflığın blok zinciri yönetişimi açısından önem taşıyabileceğini belirtmektedir ve projelerin zincir üzerindeki faaliyetlere nasıl müdahale edebildiklerini kamuoyuna açık şekilde belirtmeleri gerektiğini vurguluyor.

Bybit’in Lazarus Security Lab’den yeni rapor yazısı ilk önce En Gazete üzerinde ortaya çıktı.

ESET araştırmacılarının bulgularına göre gerçek hayatta gerçekleşen saldırılar, Orta ve Güneydoğu Avrupa’da savunma sektöründe faaliyet gösteren üç şirketi arka arkaya hedef aldı. İlk erişim neredeyse kesin olarak sosyal mühendislik yoluyla sağlandı. Hedeflere yerleştirilen ana yük, saldırganlara ele geçirilen makine üzerinde tam kontrol sağlayan bir uzaktan erişim truva atı (RAT) olan ScoringMathTea idi. Saldırganların başlıca hedefinin, özel bilgiler ve üretim know-how’ının dışarıya sızdırılması olduğu düşünülüyor.

Operation DreamJob’da, sosyal mühendisliğin ana teması, kârlı ama sahte bir iş teklifi ve buna eşlik eden bir kötü amaçlı yazılım. Kurban, genellikle iş tanımı içeren bir yem belge ve bunu açmak için trojanize edilmiş bir PDF okuyucu alır. ESET Research, bu faaliyeti Operasyon DreamJob ile ilgili kampanyaları ve Avrupa’da bulunan hedef sektörlerin önceki Operasyon DreamJob örneklerindeki hedeflerle (havacılık, savunma, mühendislik) uyumlu olması nedeniyle Lazarus’a atfediyor. 

Hedef alınan üç kuruluş, farklı türde askeri teçhizat (veya bunların parçaları) üretiyor ve bunların çoğu, Avrupa ülkelerinin askeri yardımı sonucunda şu anda Ukrayna’da kullanılıyor. Operation DreamJob’un gözlemlenen faaliyetleri sırasında, Kuzey Koreli askerler Moskova’nın Kursk bölgesinde Ukrayna’nın saldırısını püskürtmesine yardım etmek için Rusya’ya konuşlandırılmıştı. Bu nedenle, Operation DreamJob’un şu anda Rusya-Ukrayna savaşında kullanılan bazı batı yapımı silah sistemleri hakkında hassas bilgiler toplamakla ilgilendiği mümkündür. Daha genel olarak, bu kuruluşlar Kuzey Kore’nin de yurt içinde ürettiği ve kendi tasarım ve süreçlerini mükemmelleştirmeyi umduğu türden malzemelerin üretiminde yer almaktadır. İHA ile ilgili bilgi birikimine olan ilgi dikkat çekici, zira bu, Pyongyang’ın yerli drone üretim kapasitelerine büyük yatırım yaptığına işaret eden son medya haberlerini yansıtıyor. Kuzey Kore, yerli İHA kapasitelerini geliştirmek için büyük ölçüde tersine mühendislik ve fikri mülkiyet hırsızlığına güvenmiştir. 

Son Lazarus saldırılarını keşfeden ve analiz eden ESET araştırmacısı Peter Kálnai ve Alexis Rapin şu açıklamayı yaptılar: “Operasyon DreamJob’un, en azından kısmen, İHA’larla ilgili özel bilgileri ve üretim know-how’ını çalmak amacıyla gerçekleştirildiğini düşünüyoruz. Dropper’lardan birinde gözlemlenen drone ifadesi, bu hipotezi önemli ölçüde desteklemektedir. Hedef alınan kuruluşlardan birinin, şu anda Ukrayna’da kullanılan ve Kuzey Kore’nin cephe hattında karşılaşmış olabileceği en az iki İHA modelinin üretiminde yer aldığına dair kanıtlar bulduk. Bu kuruluş, Pyongyang’ın aktif olarak geliştirmekte olduğu bir uçak türü olan gelişmiş tek motorlu insansız hava araçlarının tedarik zincirinde de yer almaktadır.“

Genel olarak, Lazarus saldırganları oldukça aktiftir ve arka kapılarını birden fazla hedefe karşı kullanırlar. Bu sık kullanım, bu araçları ortaya çıkarır ve tespit edilmesini sağlar. Buna karşı önlem olarak, grubun araçlarının yürütme zincirinde bir dizi dropper, yükleyici ve basit indirici yer alır. Saldırganlar, kötü amaçlı yükleme rutinlerini GitHub’da bulunan açık kaynaklı projelere dâhil etmeye karar verdiler.

Ana yük olan ScoringMathTea, yaklaşık 40 komutu destekleyen karmaşık bir RAT’tır. İlk ortaya çıkışı, Ekim 2022’de Portekiz ve Almanya’dan VirusTotal’a gönderilen başvurularla izlenebilir; burada dropper, Airbus temalı bir iş teklifi gibi görünerek kurbanları tuzağa düşürmüştür. Uygulanan işlevsellik, Lazarus’un genellikle gerektirdiği işlevselliklerle aynıdır: Dosya ve işlemlerin manipülasyonu, yapılandırmanın değiştirilmesi, kurbanın sistem bilgilerinin toplanması, TCP bağlantısının açılması ve yerel komutların veya C&C sunucusundan indirilen yeni yüklerin yürütülmesi. ESET telemetrisine göre, ScoringMathTea, Ocak 2023’te bir Hint teknoloji şirketine, Mart 2023’te bir Polonya savunma şirketine, Ekim 2023’te bir İngiliz endüstriyel otomasyon şirketine ve Eylül 2025’te bir İtalyan havacılık şirketine yönelik saldırılarda görülmüştür. Operation DreamJob kampanyalarının amiral gemisi yüklerinden biri olduğu görülmektedir.

Grubun en önemli gelişimi, DLL proxy’leri için tasarlanmış yeni kütüphanelerin tanıtılması ve daha iyi kaçınma için trojanize edilecek yeni açık kaynaklı projelerin seçilmesidir. Kálnai, “Yaklaşık üç yıldır Lazarus, tercih ettiği ana yükü olan ScoringMathTea’yi kullanarak ve açık kaynaklı uygulamaları trojanize etmek için benzer yöntemler uygulayarak tutarlı bir çalışma tarzını sürdürmüştür. Bu öngörülebilir ancak etkili strateji, grubun kimliğini gizlemek ve atıf sürecini belirsizleştirmek için yetersiz olsa da güvenlik tespitinden kaçmak için yeterli polimorfizm sağlar” diye aktardı.

HIDDEN COBRA olarak da bilinen Lazarus grubu en az 2009 yılından beri aktif olan ve Kuzey Kore ile bağlantılı bir APT grubudur. Yüksek profilli olaylardan sorumludur. Lazarus kampanyalarının çeşitliliği, sayısı ve uygulamadaki tuhaflığı bu grubu tanımlamaktadır. Ayrıca siber suç faaliyetlerinin üç temel unsurunu da yerine getirmektedir: Siber casusluk, siber sabotaj ve mali kazanç peşinde koşma.

Operasyon DreamJob, esas olarak sosyal mühendisliğe dayanan Lazarus kampanyalarının kod adıdır ve özellikle prestijli veya yüksek profilli pozisyonlar için sahte iş teklifleri kullanır (“hayalindeki iş” tuzağı). Hedefler ağırlıklı olarak havacılık ve savunma sektörlerindedir, ardından mühendislik ve teknoloji şirketleri ile medya ve eğlence sektörü gelir.

İş teklifi sahte casusluk gerçek yazısı ilk önce En Gazete üzerinde ortaya çıktı.

Kaspersky GReAT (Global Araştırma ve Analiz Ekibi) tarafından yayınlanan yeni bir rapora göre, saldırganlar Güney Kore’de yazılım, BT, finans, yarı iletken ve telekomünikasyon sektörlerinde en az altı kuruluşu hedef aldı. Ancak gerçek kurban sayısı daha da yüksek olabilir. Kaspersky araştırmacıları bu kampanyaya “Operation SyncHole” adını verdi.

En az 2009’dan beri aktif olan Lazarus Grubu, geniş kaynaklara sahip ve kötü şöhretli bir tehdit aktörü olarak biliniyor. Yakın tarihli bir kampanyada, grubun idari ve finansal sistemlerde güvenli dosya aktarımları için kullanılan ve üçüncü taraf tarayıcıya entegre bir araç olan Innorix Agent’taki bir günlük güvenlik açığından yararlandığı görüldü. Saldırganlar bu güvenlik açığından yararlanarak yanal hareketi kolaylaştırdı ve hedeflenen ana bilgisayara ek kötü amaçlı yazılım yüklenmesini sağladı. Bu da nihayetinde ThreatNeedle ve LPEClient gibi Lazarus imzalı kötü amaçlı yazılımların dağıtılmasına yol açarak iç ağlardaki konumunu genişletti. Bu açık, Agamemnon indiricisi aracılığıyla sunulan daha büyük bir saldırı zincirinin parçasıydı ve özellikle Innorix’in savunmasız bir sürümünü (9.2.18.496) hedef alıyordu.

Kaspersky’nin GReAT uzmanları, zararlı yazılımın davranışını analiz ederken, herhangi bir tehdit aktörü saldırılarında kullanmadan önce bulmayı başardıkları başka bir rastgele dosya indirme sıfır gün açığı da keşfetti. Kaspersky, Innorix Agent’taki sorunları Kore İnternet ve Güvenlik Ajansı’na (KrCERT) ve satıcıya bildirdi. Yazılım o zamandan beri yamalı sürümlerle güncellenirken, güvenlik açığına KVE-2025-0014 tanımlayıcısı atandı.

Kaspersky GReAT (Global Araştırma ve Analiz Ekibi) Güvenlik Araştırmacısı Sojun Ryu, şunları söyledi: “Siber güvenliğe proaktif bir yaklaşım çok önemlidir. Derinlemesine zararlı yazılım analizimizin daha önce bilinmeyen bir güvenlik açığını herhangi bir aktif istismar belirtisi ortaya çıkmadan önce ortaya çıkarması bu zihniyet sayesinde oldu. Bu tür tehditlerin erken tespiti, sistemlerin daha geniş çapta tehlikeye girmesini önlemenin anahtarıdır.” 

INNORIX ile ilgili bulgulardan önce, Kaspersky uzmanları daha önce Güney Kore’ye yönelik takip eden saldırılarda ThreatNeedle ve SIGNBT arka kapısının bir varyantının kullanıldığını keşfetmişti. Zararlı yazılım, meşru bir SyncHost.exe işleminin belleğinde çalışıyordu ve çeşitli tarayıcı ortamlarında güvenlik araçlarının kullanımını desteklemek için tasarlanmış meşru bir Güney Kore yazılımı olan Cross EX’in bir alt işlemi olarak oluşturulmuştu.

Kampanyanın detaylı analizi, aynı saldırı vektörünün Güney Kore’deki beş kuruluşta daha tutarlı bir şekilde tespit edildiğini doğruladı. Her bir vakadaki bulaşma zincirinin Cross EX’teki potansiyel bir güvenlik açığından kaynaklandığı görüldü ki, bu da tüm operasyondaki bulaşmanın başlangıç noktası olduğunu düşündürüyor. Özellikle KrCERT tarafından yayınlanan yakın tarihli bir güvenlik danışmanlığı, CrossEX’te güvenlik açığının varlığını doğruladı ve bu güvenlik açığı bu araştırmanın yapıldığı zaman diliminde yamalandı.

Kaspersky GReAT (Global Araştırma ve Analiz Ekibi) Direktörü Igor Kuznetsov, şunları ifade etti: “Bu bulgular birlikte daha geniş bir güvenlik endişesini güçlendiriyor. Üçüncü taraf tarayıcı eklentileri ve yardımcı araçlar, özellikle bölgeye özgü veya eski yazılımlara dayanan ortamlarda saldırı yüzeyini önemli ölçüde artırıyor. Bu bileşenler genellikle yüksek ayrıcalıklarla çalışıyor, bellekte kalıyor ve tarayıcı süreçleriyle derinlemesine etkileşime giriyor. Bu da onları saldırganlar için oldukça çekici ve genellikle modern tarayıcıların kendisinden daha kolay hedefler haline getiriyor.” 

SyncHole Operasyonu saldırıları nasıl başlıyor?

Lazarus Grubu, genellikle çok sayıda kullanıcı tarafından ziyaret edilen güvenliği ihlal edilmiş çevrimiçi medya web sitelerini yem olarak kullanıyor. Bu teknik, watering hole saldırıları olarak da biliniyor. Tehdit aktörleri gelen trafiği filtreleyerek ilgilendikleri kişileri tespit ediyor, bu hedefleri seçerek saldırganların kontrolündeki web sitelerine yönlendiriyor ve burada bir dizi teknik eylemle saldırı zincirini başlatıyor. Bu yöntem, grubun operasyonlarının hedefli ve stratejik doğasını vurguluyor.

Saldırıda kullanılan yönlendirilmiş sayfaya bir örnek

Lazarus’un son kampanyası hakkında daha fazla bilgi edinmek için Securelist.com adresini ziyaret edin

Kaspersky ürünleri, bu saldırıda kullanılan açıkları ve kötü amaçlı yazılımları aşağıdaki isimlerle tespit edebiliyor: Trojan.Win64.Lazarus.*, Trojan.Win32.Lazarus.*, MEM:Trojan.Win32.Cometer.gen, MEM:Trojan.Win32.SEPEH.gen, Trojan.Win32.Manuscrypt.*, Trojan.Win64.Manuscrypt.*, Trojan.Win32.Zenpak.*

Kaspersky, Lazarus ve diğer Gelişmiş Kalıcı Tehdit (APT) saldırılarına karşı savunmak için doğru tespit, bilinen tehditlere hızlı yanıt ve güvenilir güvenlik araçları kullanımını öneriyor. 

Ek tavsiyeler arasında şunlar yer alıyor:

• Saldırganların güvenlik açıklarından yararlanarak ağınıza sızmasını önlemek için kullandığınız tüm cihazlardaki yazılımları her zaman güncel tutun.
• Açıkları ve savunmasız sistemleri ortaya çıkarmak için ağlarınızda ve varlıklarınızda bir siber güvenlik denetimi gerçekleştirin ve çevrede veya ağ içinde keşfedilen zayıflıkları hızla düzeltin.
• Şirketi çok çeşitli tehditlere karşı korumak için, her büyüklükteki ve sektördeki kuruluşlar için gerçek zamanlı koruma, tehdit görünürlüğü, EDR ve XDR’nin araştırma ve yanıt yeteneklerini sağlayan  Kaspersky Next ürün serisindeki çözümleri kullanın
• InfoSec profesyonellerinize kurumunuzu hedef alan siber tehditler hakkında derinlemesine görünürlük sağlayın. Kaspersky Threat Intelligence, onlara tüm olay yönetimi döngüsü boyunca zengin ve anlamlı bir bağlam sağlar ve siber riskleri zamanında tespit etmelerine yardımcı olur.

Kaspersky, Güney Kore tedarik zincirlerini hedef alan Lazarus liderliğindeki yeni siber saldırıları ortaya çıkardı yazısı ilk önce En Gazete üzerinde ortaya çıktı.