Kuzey Kore’nin Lazarus Grubu’nun dünya çapında kripto para birimi varlıkları ve yazılım geliştiricileri üzerine yapılan son saldırılarla ilgili devam eden bir soruşturma, tehdit oyuncunun kampanyanın komuta ve kontrol (C2) altyapısını merkezi olarak yönetmek için kullandığı gizli bir idari katmanı ortaya çıkardı.
SecurityScorecard’daki araştırmacılar tarafından yapılan soruşturma, Lazarus’u, tehlikeye atılan sistemler üzerindeki doğrudan gözetim sağlamak, üzerlerinde kontrol yükü teslimatını korumak ve pefiled verileri verimli bir şekilde yönetmek için yeni keşfedilen altyapıyı kullandığını gösterdi. Güvenlik satıcısı, tehdit oyuncusu, BT işçilerinin taklit edilmesini içeren diğer kampanyalarda aynı web tabanlı yönetici platformunu kullanıyor.
Operasyonel güvenlik ayrıntılı
Tehdit oyuncusu, atıftan denemek ve kaçınmak için ayrıntılı operasyonel güvenlik önlemleri uygulamış olsa da, SecurityScorecard kampanyayı ve altyapıyı Kuzey Kore’ye yüksek derecede güvenle bağlayabildiğini söyledi.
“[The] Analiz, Lazarus’un dünya çapında kripto para birimi endüstrisini ve geliştiricilerini hedefleyen küresel bir operasyon düzenlediğini açıkça ortaya koyuyor. “Dedi. Bu hafta bir rapor. Diyerek şöyle devam etti: “Kampanyalar yüzlerce kurbanın yükleri indirmesi ve yürütmesi ile sonuçlanırken, arka planda, ponfiltrasyonlu veriler Pyongyang’a geri dönüyordu.”
Güvenlik Saldırısı, Lazarus Group’un yeni keşfedilen yönetici katmanını izlediği ad “,” Phantom Circuit “i keşfetti.Operasyon 99“Kripto para birimi endüstrisini ve geliştiricilerini küresel olarak hedefleyen son zamanlarda ortaya çıkardığı kötü niyetli bir kampanya. KampanyadaTehdit Grubu üyeleri, yazılım geliştiricilerinin sahte proje testlerine ve kod incelemelerine katılmalarını sağlamak için LinkedIn ve diğer çevrimiçi iş forumlarında işe alım görevlileri olarak poz veriyorlar.
Aldatmaca için düşen kurbanlar, görünüşte iyi huylu ama zararlı bir açık kaynak github deposunu klonlamaya yöneliktir. Klonlanmış depo, Lazarus Group’un C2 altyapısına bağlanır ve daha sonra tehdit oyuncusu veri çalma kötü amaçlı yazılımları kurbanın ortamına gizlemek için kullanır. Kampanyanın bir parçası olarak, Lazarus Group aktörleri, kimlik doğrulama uygulamaları ve kripto para birimi yazılımı da dahil olmak üzere, meşru yazılım ürünlerine gizlenmiş arka planlar ekliyor ve geliştiricileri bunları ortamlarında çalıştırmaya çalıştırmaya çalışıyor. Güvenlik Kaynağı, 230’dan fazla kurbanın Kuzey Kore tehdit oyuncusunun son kampanyasındaki kötü amaçlı yükleri indirdiğini tahmin ediyor.
İkili motivasyon
SecurityScorecard Tehdit İstihbarat Kıdemli Başkan Yardımcısı Ryan Sherstobitoff, “Motivasyon iki yönlü: kripto para birimi hırsızlığı ve kurumsal ağların sızması” diyor. Çoğu zaman, Lazarus Group Lures’a kurban eden geliştiriciler, kurumsal cihazlarında ve çalışma ortamlarında klonlanmış kodu yürütüyorlar. “Yükler, geliştirme sırlarını yaymak için tasarlanmıştır” diyor.
Güvenlik Scorecard, Lazarus aktörlerinin Operasyon 99 ile çaldıkları bilgileri nasıl yönettiğini anlamaya çalışırken Phantom Devre Yönetici katmanını ortaya çıkardı. Şirketin keşfettiği, Lazarus üyeleri, Astrill VPN’lerin ve vekillerinin sofistike bir ağı olarak tanımladığı şeydi. son derece gizli bir şekilde. Astril142 şehir ve 56 ülkede VPN sunucuları olan, kullanıcıların Web’e anonim olarak göz atmasına ve ağır sansüre sahip ülkelerde internet kısıtlamalarını atlamasına izin vermek için bir üne sahiptir.
Güvenlik Saklığı Araştırmacıları, Lazarus üyelerini Rusya’nın Hasan kentinde bir yük şirketine kayıtlı bir ara vekil ağına bağlanmak için Astrill VPN’leri kullanarak buldular. Daha sonra, izlerini denemek ve gizlemek için ayrıntılı bir girişimde 99’un C2 altyapısına bağlanmak için proxy ağını kullandılar. C2 sunucularının kendileri, büyük olasılıkla kurgusal “Stark Industries, LLC” ile kayıtlı altyapıda barındırıldı.
“[SecurityScorecard] C2S’ye bağlanmak için kullanılan IP’lerin sadece bir röle/proxy olduğunu ve gerçek kökenli bir şekilde gizlemek için kullanıldığını değerlendirir, “şirket bu hafta raporunda yazdı.” Düşman, VPN’ye bağlandıktan sonra ikincil bir oturum oluşturuyordu. Proxy ile, böylece gerçekte bağlandıkları yerlerin gerçek kökenini gizliyor.
“Çifte devre [is the] doğrudan Pyongyang’a geri dönen perde arkasındaki operasyonel ağ, “diyor Sherstobitoff. Aynı zamanda aynı vekalet ağı, Lazarus’un çalıntı kimlikleri kullandığı başka bir kampanyada kullandığını da ekliyor. BT işçilerini taklit et Sızmak istedikleri kuruluşlarda işleri güvence altına almak için.