Andariel APT grubu, imalat, inşaat ve eğitim sektörlerinin vurulduğu Güney Koreli yerli şirket ve kurumlara yönelik hedefli bir saldırı kampanyası başlattı.
Saldırganlar sistemleri tehlikeye atmak, verileri çalmak ve potansiyel olarak virüslü makineleri kontrol etmek için Nestdoor, keylogger’lar, bilgi hırsızları ve proxy araçları gibi arka kapılar kullandı ve kampanya, Nestdoor arka kapıları ve web kabukları da dahil olmak üzere önceki Andariel saldırılarında gözlemlenen kötü amaçlı kodları yeniden kullandı.
İlginç bir şekilde, daha önce Lazarus grubunun faaliyetleriyle bağlantılı olan bir vekil araç da kullanıldı; bu, iki aktör arasında potansiyel işbirliği veya ortak kaynak olduğunu gösteriyor.
Saldırganlar, kötü amaçlı kod yaymak için Apache Tomcat web sunucusundaki kusurları kullandı ve saldırganlar, hedeflenen sunucuyu tehlikeye sokan arka kapılar ve proxy araçları yüklediler; bu, muhtemelen Tomcat’in 2013’te piyasaya sürülmesinden bu yana güncelliğini kaybetmişti.
ANYRUN kötü amaçlı yazılım korumalı alanının 8.’si Doğum Günü Özel Teklifi: 6 Aylık Ücretsiz Hizmet Kazanın
Yakın zamanda keşfedilen ve Andariel grubuyla bağlantılı Nestdoor adlı bir RAT kötü amaçlı yazılımı, en az Mayıs 2022’den bu yana saldırılarda kullanılıyor. Bu kötü amaçlı yazılım, saldırganlara virüslü sistemlerin uzaktan kontrolünü sağlayarak dosya aktarımına, kabuk erişimine ve komut yürütmeye izin veriyor.
.webp)
Nestdoor keylogging, pano yakalama ve proxy işlevlerini kullanıyor ve C&C sunucularını başka bir RAT olan TigerRAT ile paylaşıyor; bu da bunların hem yerel varlıkları hem de Log4Shell güvenlik açığından yararlananları hedef alan saldırılarda koordineli şekilde kullanılmasını öneriyor.
Saldırganlar, “OpenVPN Installer.exe” adlı sıkıştırılmış bir dosyanın içine gizlenmiş, yasal yazılım görünümünde kötü amaçlı yazılım dağıtıyor, başlatmak için bir DLL dosyasından yararlanıyor ve ardından “openvpnsvc.exe” adlı Nestdoor kötü amaçlı yazılımının bir kopyasını çalıştırıyor.
.webp)
AhnLab Güvenlik İstihbarat Merkezi’ne göre kötü amaçlı yazılım, görev zamanlayıcıya kaydolarak ve bir komuta ve kontrol sunucusuyla iletişim kurarak kalıcılık sağlıyor.
Nestdoor’un bu yinelemesi, geçmiş sürümlerle karşılaştırıldığında C&C iletişim komutlarında ve desteklenen işlevlerde bazı farklılıklar sergilese de, dosya manipülasyonunun temel işlevlerini korur ve kabuğu tersine çevirerek, saldırganın ele geçirilen sistemi kontrol etmesine olanak tanır.
.webp)
Saldırganlar, RAT kötü amaçlı yazılımına ek olarak, çalınan tüm tuş vuruşlarını ve pano bilgilerini depolamak için kurbanın geçici dizininde bir dosya oluşturarak tuş kaydı ve pano kaydı için başka bir kötü amaçlı yazılım kullandı.
.webp)
Tanımlanan bir başka kötü amaçlı yazılım parçası da, saldırganların virüslü sistemden dosya çalmasına olanak tanıyan bir dosya hırsızıdır.
RAT kötü amaçlı yazılımından ayrı olarak kurulduğundan ve hırsız, iletişim protokolünü, sunucu adresini, dosya yolunu ve performans sınırlamalarını yapılandırmak için seçenekler sunduğundan, büyük olasılıkla büyük miktarda dosyayı hedefliyor.
Lazarus Group saldırıları, özel yapım olanlar ve açık kaynaklı Socks5 araçları da dahil olmak üzere proxy araçlarını yoğun bir şekilde kullanıyor.
Saldırganlar, boyut, işlevsellik ve hatta kimlik doğrulama dizeleri açısından Kaspersky’nin ThreadNeedle’ına (2021’de piyasaya sürülen) benzeyen kötü amaçlı bir proxy dağıttı.
En az 2014’ten bu yana, Lazarus Group saldırıları, kendine özgü kimlik doğrulama dizesiyle ayırt edilebilen ve bu özel araç veya tekniğin uzun süreli kullanıldığını gösteren bu özel proxy türünü kullanıyor.
Ücretsiz Web Semineri Canlı API Saldırı Simülasyonu: Yerinizi Ayırın | API’lerinizi bilgisayar korsanlarından korumaya başlayın