DeathNote, 2019 yılında dünya çapında kripto paralarla ilgili şirketlere yönelik saldırılarla ilgili faaliyete geçti. 2022 yılının sonlarına doğru ise DeathNote, Avrupa, Latin Amerika, Güney Kore ve Afrika'daki BT ve savunma şirketlerini etkileyen saldırılar gerçekleştirmişti.
Kaspersky raporu, DeathNote'un hedeflerinde bir değişiklik ve son dört yılda araçlarında, tekniklerinde ve prosedürlerinde bir gelişme olduğu konusunda uyarıda bulunuyor.
Tehlikeli siber suç grubu Lazarus, kripto para sektörüyle ilgili şirketlere birçok saldırı gerçekleştirdi. Kaspersky, Lazarus'un belirli durumlar için değiştirilmiş kötü amaçlı yazılım kullandıklarını tespit etti. Ekim 2019'un ortalarında, siber güvenlik şirketinden analistler VirusTotal'a yüklenmiş şüpheli bir belge buldular. Kötü amaçlı yazılımın yazarı, kripto para işiyle ilgili sahte belgeler kullandı. Kripto para satın alma, trade etme ve bir Bitcoin madenciliği şirketi için aynı şey hakkında bir test içeriyorlardı. Bu, Kıbrıs, Amerika Birleşik Devletleri, Tayvan ve Hong Kong'daki kripto para birimi ile ilgili bireyleri ve şirketleri hedef alan DeathNote'un ilk ortaya çıkışıydı.
Nisan 2020'de Kaspersky, Doğu Avrupa'daki tümü savunma sanayisiyle bağlantılı otomotiv ve akademik kuruluşları hedef alan DeathNote saldırılarında önemli bir değişiklik gözlemledi. DeathNote, savunma yüklenicisi iş tanımları ve ayrıca diplomasi ile ilgili sahte belgeleri değiştirmişti. Ayrıca, bir Truva atını gizleyen PDF dosyaları için kodlar ve görüntüleyici yazılımı aracılığıyla kendi zincirini oluşturmuştu.
Kaspersky: DeathNote'a karşı dikkatli olunmalı
Mayıs 2021'de Kaspersky, kendini ağ cihazları ve sunucu izleme için çözümler sağlamaya adamış bir Avrupa BT şirketinin DeathNote tarafından ele geçirildiğini gözlemledi. Ayrıca, haziran 2021'in başlarında DeathNote, Güney Kore'ye siber saldırı düzenlemek için yeni bir mekanizma kullanmaya başladı. Kaspersky'deki araştırmacıların dikkatini çeken ilk unsur, kötü amaçlı yazılımın ilk aşamasının o ülkede güvenlik için sıklıkla kullanılan meşru yazılımlar tarafından yürütülmesi oldu.
Temmuz 2022'de Lazarus, Afrika'da bir savunma şirketine başarılı bir şekilde siber saldırı düzenlemişti. Her şey, Skype messenger aracılığıyla alınan PDF dosyalarını okuyan bir uygulama aracılığıyla virüs bulaşmasıyla başladı. PDF okuyucu başlatıldıktan sonra, aynı dizinde ' CameraSettingsUIHost.exe ' adlı yasal bir dosya ve ' DUI70.dll ' adlı kötü amaçlı bir dosya oluşturuldu.
Kaspersky GReAT Güvenlik Araştırma Lideri Seongsu Park, konu ile ilgili olarak şu şekilde açıklama yaptı:
"Lazarus vicdansız ama çok yetenekli bir siber suçlu grubu. DeathNote analizimiz, Taktikler, Teknikler ve Prosedürlerde (TTP) yıllar içinde hızlı bir gelişme olduğunu ortaya koyuyor. Bu kez kripto para birimleri ile sınırlı kalmadı, daha da ileri gitti. Savunma endüstrisindeki şirketlerin güvenliğini aşmak için hem yasal hem de kötü amaçlı yazılımlar kullanmaya başladılar."