Araştırmacılar, kapsamlı sistem bilgilerini alabilen, dosyaları değiştirebilen ve ek komutları çalıştırabilen bir arka kapı yükü olan WinorDLL64’ü keşfettiler. Bunu Kuzey Kore’ye bağlı bir a’ya atfediyorlar.gelişmiş kalıcı tehdit (APT) grubu Lazarus.
WinorDLL64, Wslink yükleyici tarafından zaten kurulmuş bir bağlantı üzerinden iletişim kurar ve ilk Wslink uzlaşma vektörü henüz tanımlanmamıştır.
Wslink’in bilinen bir tehdit aktörüne ait bir araç olduğunu öne süren hiçbir veri olmamasına rağmen, yükün kapsamlı bir analizi, ESET’teki araştırmacıların WinorDLL64’ü hedeflenen bölgeye ve hem davranış hem de kodda çakışmaya dayalı olarak düşük güvenilirlikle Lazarus APT grubuyla ilişkilendirmesine yol açtı. bilinen Lazarus örnekleri ile.
GİZLİ KOBRA olarak da bilinen Lazarus grubu 2009’dan beri aktif. Bu grup, WannaCry salgını, on milyonlarca dolarlık siber soygun ve Sony Pictures Entertainment hack’i gibi yüksek profilli olaylardan sorumlu.
Lazarus ve WinorDLL64 arasındaki ilişki
ESET araştırmacıları, GhostSecret Operasyonundan alınan Lazarus örnekleri ve McAfee tarafından açıklanan Bankshot implantı ile davranış ve kodda örtüşmeler keşfettiler.
Analizleri, aksi belirtilmedikçe WinorDLL64 (1BA443FDE984CEE85EBD4D4FA7EB1263A6F1257F) ile karşılaştırmak için GhostSecret’ten FE887FCAB66D7D7F79F05E0266C0649F0114BA7C örneğini kullandı.
ESET araştırmacılarına göre, Lazarus APT grubu sistematik olarak organize edilmiş, iyi hazırlanmış ve büyük bir araç seti kullanan birkaç alt gruptan oluşuyor.
WinorDLL64’ün keşfi, operasyonlarının gelişmişliğini vurgulamaktadır. Kuruluşların sistemlerini ve ağlarını siber tehditlerden korumak için uyanık kalmaları ve gerekli önlemleri almaları gerektiğini vurgular.
Kuruluşlar, gelişmiş tehdit algılama ve müdahale yeteneklerine yatırım yapmalı, yazılımlarını ve güvenlik çözümlerini güncel tutmalı, kritik verileri düzenli olarak yedeklemeli, en iyi uygulamaları uygulamalı ve bu tür gelişmiş tehditlerden kaçınmak için çalışanları siber güvenlik hijyeni konusunda eğitmelidir.
Numunenin teknik analizi
Yakın tarihli bir rapora göre, McAfee tarafından bildirilen en son GhostSecret örneği Şubat 2018’e kadar uzanıyor. Ancak, Wslink’in ilk örneği 2018’in sonlarında keşfedildi ve diğer araştırmacılar aynı yılın Ağustos ayında ESET’in yayınlanmasından sonra ifşa ettikleri isabetler bildirdiler. .
Bu, bu örneklerin nispeten kısa bir süre içinde tespit edildiğini gösterir.
ESET araştırmacıları ayrıca Wslink ve Lazarus örneklerindeki PE açısından zengin başlıkların aynı geliştirme ortamını gösterdiğini buldu.
70DE783E5D48C6FBB576BC494BAF0634BC304FD6 ve 8EC9219303953396E1CB7105CDB18ED6C568E962 gibi bilinen diğer birçok Lazarus örneğinde benzer büyüklükteki projeler kullanılmıştır. Bu örtüşme, yalnızca düşük ağırlıklı bir gösterge olan bu Wslink ve Lazarus örneklerini kapsayan belirli kurallar kullanılarak bulundu.
Bu rapor, Lazarus APT grubunun oluşturduğu devam eden tehdidi ve dünya çapındaki kuruluşları hedef aldığını vurgulamaktadır.
Sonuç olarak, kuruluşlar sistemlerini ve ağlarını siber tehditlerden korumak için tetikte olmalı ve gerekli önlemleri almalıdır.
Bu, tüm yazılım ve güvenlik çözümlerinin düzenli olarak güncellenmesini, kritik verilerin yedeklenmesini, en iyi uygulamaların uygulanmasını ve çalışanların siber güvenlik hijyeninin önemi konusunda eğitilmesini içerir.