Son araştırma, Lazarus grubunun bir parçası olan Andariel’in YamaBot ve MagicRat gibi birkaç yeni kötü amaçlı yazılım ailesini, NukeSped ve DTrack’in güncellenmiş sürümlerini tanıttığını keşfetti.
Andariel grubu, erişim elde etmek için Log4j güvenlik açığından yararlanarak DTrack arka kapısını kullanarak Maui fidye yazılımı saldırısını gerçekleştirdi.
.png
)
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Maui fidye yazılımının esas olarak ABD sağlık sektöründeki şirketleri ve devlet kuruluşlarını hedef aldığını bildirdi.
Sonuç olarak, araştırmacılar daha önce belgelenmemiş bir kötü amaçlı yazılım ailesini ve Andariel’in TTP setine bir ilaveyi ortaya çıkardılar.
DTrack Arka Kapı
Andariel, C2 sunucusundan daha fazla kötü amaçlı yazılım indiren bir Log4j istismarı yürüterek Windows makinelerine bulaşıyor.
Andariel grubunun birincil aracı, köklü bir kötü amaçlı yazılım olan DTrack’tir. Bir kurban hakkında bilgi toplar ve uzak bir ana bilgisayara gönderir.
DTrack, tarayıcı geçmişini toplar ve ayrı bir dosyaya kaydeder. Andariel saldırılarında kullanılan varyant, toplanan bilgileri HTTP yoluyla siber suçluların sunucusuna gönderir ve kurbanın ağındaki uzak bir ana bilgisayarda depolar.
Kaspersky, saldırı sırasında komutların çoğunun manuel olarak yürütüldüğünü tespit etti; kurban makinelerde herhangi bir fidye notu bırakmadı.
Ayrıca, komut yürütme aşamasında kurulan ve çalıştırılan ve ardından hedefin daha fazla kullanılması için kullanılan bir dizi kullanıma hazır araç, Andariel buldu. Aşağıda bazı örnekler verilmiştir:
- Üstün uzak masaüstü
- 3Proxy
- Güç hattı
- Macun
- damper
- NTDSDumpEx
- Çatal Dökümü
Erken RAT
Andariel, kimlik avı e-postaları yoluyla gönderilen kurban makineyi hedeflemek için Early RAT’ı da kullanır. Kötü amaçlı ek, kullanıcılara makroları etkinleştirmeleri için bir uyarı mesajı gönderir.
Kullanıcı makroları etkinleştirdikten sonra, HolyGhost / Maui fidye yazılımı kampanyasıyla ilişkili bir sunucuya ping atmak için bir komut yürütür.
EarlyRat, tıpkı diğer birçok RAT (uzaktan erişim Truva Atı) gibi, başlatıldığında sistem bilgilerini toplar ve aşağıdaki şablonu kullanarak C2’ye gönderir:
İsteğin iki farklı parametresi var: “kimlik” ve “sorgu.” Ardından, “rep0” ve “sayfa” parametreler de desteklenmektedir. Aşağıdaki durumlarda kullanılırlar:
- id: “sorgu”dan gelen değerin şifresini çözmek için şifreleme anahtarı olarak kullanılan makinenin benzersiz kimliği
- sorgu: asıl içerik. Base64 kodlanmış mı ve “id” alanında belirtilen anahtarla XOR uygulanmış mı?
- rep0: geçerli dizinin değeri
- sayfa: dahili durumun değeri
EarlyRat ve MagicRat arasında birkaç üst düzey benzerlik vardır. Her ikisi de bir çerçeve kullanılarak yazılmıştır: MagicRat için QT ve EarlyRat için PureBasic kullanılır. Ayrıca, her iki RAT’ın işlevselliği de oldukça sınırlıdır.
Bir APT grubu olmasına rağmen Lazarus, fidye yazılımı yürütmek gibi siber suç ortamını karmaşıklaştıran geleneksel siber suç operasyonlarını yürütmesiyle ünlüdür. Ekip ayrıca çeşitli benzersiz araçlar kullanır, sık güncellemeler yapar ve yeni virüsler oluşturur.
TTP’lere odaklanmak, ilişkilendirme süresini azaltır ve saldırıların erken saptanmasına yardımcı olur. Bu bilginin yardımıyla, olayları önlemek için önleyici tedbirler alınabilir. Andariel APT Group, yeni Kötü Amaçlı Yazılımları Bırakmak için silahlı Word Belgelerini kullanır.
En İyi Kurumsal E-posta Korumasını mı Arıyorsunuz? Yapay Zeka Tabanlı Bir E-posta güvenlik Çözümü olan Trustifi’yi Deneyin – Ücretsiz Demo İsteyin.