Araştırmacılar, Kuzey Koreli gelişmiş kalıcı tehdit aktörü Andariel APT grubunun Kore şirketlerini ve diğer kuruluşları hedef alan yeni saldırılarını ortaya çıkardı. Kurbanlar arasında eğitim kurumları ve imalat ve inşaat sektörlerindeki şirketler de yer alıyor.
AhnLab Güvenlik İstihbarat Merkezi’ndeki (ASEC) araştırmacılar, saldırganların ele geçirilen sistemleri kontrol etmek ve bu sistemlerden veri çıkarmak için arka kapıların yanı sıra keylogger’lar, bilgi hırsızları ve proxy araçları kullandığını söyledi.
Bu saldırılarda kullanılan kötü amaçlı yazılım, “Nestdoor” arka kapısı da dahil olmak üzere daha önce Andariel APT grubuna atfedilen türleri içermektedir. Ek araçlar arasında, artık önceki sürümlerle karşılaştırıldığında değişiklikler içeren, Kuzey Kore Lazarus grubuna bağlı web kabukları ve proxy araçları bulunmaktadır.
Araştırmacılar ilk olarak, çeşitli saldırılara karşı savunmasız olan Apache Tomcat’in 2013 tarihli eski bir sürümünü çalıştıran bir web sunucusu aracılığıyla kötü amaçlı yazılımın dağıtıldığı doğrulanmış bir saldırı vakasını gözlemlediler. Araştırmacılar, “Tehdit aktörü web sunucusunu arka kapılar, proxy araçları vb. yüklemek için kullandı” dedi.
Bu Kampanyada Andariel APT Tarafından Kullanılan Kötü Amaçlı Yazılım
En son kampanyada kullanılan iki kötü amaçlı yazılım türünden ilki, Mayıs 2022’den bu yana aktif olan bir uzaktan erişim truva atı (RAT) olan Nestdoor’du. Bu RAT, virüslü sistemleri kontrol etmek için tehdit aktörünün komutlarını yürütebilir.
Nestdoor, VMware Horizon ürününün Log4Shell güvenlik açığından (CVE-2021-44228) yararlananlar da dahil olmak üzere çok sayıda Andariel saldırısında bulundu. Kötü amaçlı yazılım, C++ dilinde geliştirilmiştir ve dosya yükleme/indirme, ters kabuk, komut yürütme, tuş günlüğü tutma, pano günlüğü tutma ve proxy işlevleri gibi yeteneklere sahiptir.
2022’deki özel bir vakada Nestdoor’un aynı komut ve kontrol (C&C) sunucusu kullanılarak TigerRAT ile birlikte dağıtılmasıyla ilgiliydi. 2024’ün başlarındaki başka bir olayda Nestdoor’un OpenVPN yükleyicisi kılığına girdiği görüldü. Bu sürüm, Görev Zamanlayıcı aracılığıyla kalıcılığı korudu ve bir C&C sunucusuyla iletişim kurdu.
Andariel APT, her kampanya için Go dilinde yeni kötü amaçlı yazılım türleri geliştiriyor. Yakın zamanda keşfedilen Dora RAT, bu tür kötü amaçlı yazılım türlerinden biridir.
Arka kapı kötü amaçlı yazılımı, ters kabuk ve dosya aktarım işlemlerini destekler ve iki biçimde bulunur: bağımsız bir yürütülebilir dosya ve “explorer.exe” içine enjekte edilmiş bir işlem. İkinci varyant, enjektör kötü amaçlı yazılımını içeren WinRAR SFX formatında yürütülebilir bir dosya kullanır. Dora RAT, meşru görünmesi amacıyla Birleşik Krallık’taki bir yazılım geliştiricisinden alınan geçerli bir sertifikayla imzalandı.
Ek Kötü Amaçlı Yazılım Türleri
- Keylogger/Kliplogger: “%TEMP%” dizininde saklanan tuş vuruşlarını ve pano içeriklerini günlüğe kaydetme gibi temel işlevleri gerçekleştirir.
- Hırsız: Potansiyel olarak büyük miktarlarda veriyi işleyerek sistemden dosya çıkarmak için tasarlanmıştır.
- Vekil: Hem özel olarak oluşturulmuş proxy araçlarını hem de açık kaynaklı Socks5 proxy araçlarını içerir. Bazı vekil sunucular, Lazarus grubunun geçmiş saldırılarda kullandığı proxy’lere benziyor.
Daha büyük Lazarus şemsiyesinin bir parçası olan Andariel grubu, ulusal güvenlik bilgilerini hedeflemekten, aynı zamanda mali kazanç elde etmeye de yöneldi. Geçtiğimiz ay Güney Kore Ulusal Polis Teşkilatı, Andariel APT’nin ülkenin savunma teknolojisini çalmayı amaçlayan hedefli bir kampanyasını ortaya çıkardı.
Andariel APT bilgisayar korsanları, bir savunma sanayi ortağının sunucularının bakımında kullanılan bir çalışan hesabını ele geçirerek savunma sanayi verilerine erişim sağladı. Bilgisayar korsanları, Ekim 2022 civarında iş ortağının sunucularına kötü amaçlı kod enjekte etti ve depolanan savunma teknolojisi verilerini çıkardı. Bu ihlal, çalışanların resmi sistem erişimi için kişisel ve profesyonel e-posta hesaplarını kullanma biçimindeki bir boşluktan yararlandı.
Andariel APT’nin ilk saldırı metodolojisi öncelikle hedef odaklı kimlik avı, sulama deliği saldırıları ve yazılım açıklarından yararlanmayı içerir. Kullanıcılar, bilinmeyen kaynaklardan gelen e-posta eklerine ve web sitelerindeki yürütülebilir dosyalara karşı dikkatli olmalıdır. Araştırmacılar, güvenlik yöneticilerine, kötü amaçlı yazılım bulaşma riskini azaltmak için işletim sistemleri ve tarayıcılar da dahil olmak üzere yazılımları yamalı ve güncel tutmaları tavsiyesinde bulundu.
IoC’ler Andariel APT Saldırılarının İşaretlerine Dikkat Edecek
Andariel APT grubundan gelen saldırılara karşı izlenecek IoC’ler şunları içerir:
MD5’ler
– 7416ea48102e2715c87edd49ddbd1526: Nestdoor – Son saldırı vakası (nest.exe)
– a2aefb7ab6c644aa8eeb482e27b2dbc4: Nestdoor – TigerRAT saldırı vakası (psfile.exe)
– e7fd7f48fbf5635a04e302af50dfb651: Nestdoor – OpenVPN saldırı durumu (openvpnsvc.exe)
– 33b2b5b7c830c34c688cf6ced287e5be: Nestdoor başlatıcısı (FirewallAPI.dll)
– 4bc571925a80d4ae4aab1e8900bf753c: Dora RAT damlalığı (spsvc.exe)
– 951e9fcd048b919516693b25c13a9ef2: Dora RAT damlalığı (emaupdate.exe)
–Fee610058c417b6c4b3054935b7e2730: Dora RAT enjektörü (versiyon.dll)
– afc5a07d6e438880cea63920277ed270: Dora RAT enjektörü (versiyon.dll)
– d92a317ef4d60dc491082a2fe6eb7a70: Dora RAT (emaupdate.exe)
– 5df3c3e1f423f1cce5bf75f067d1d05c: Dora RAT (msload.exe)
– 094f9a757c6dbd6030bc6dae3f8feab3: Dora RAT (emagent.exe)
– 468c369893d6fc6614d24ea89e149e80: Keylogger/Cliplogger (conhosts.exe)
– 5e00df548f2dcf7a808f1337f443f3d9: Hırsız (msload.exe)
Şartlar ve Koşullar
– 45.58.159[.]237:443: Nestdoor – Son saldırı vakası
– 4.246.149[.]227:1443: Nestdoor – TigerRAT saldırı vakası
– 209.127.19[.]223:443: Nestdoor – OpenVPN saldırı vakası
– kmobile.bestunif[.]com:443 – Dora RAT
– 206.72.205[.]117:443 – Dora RAT