Araştırmacılar var Kötü şöhretli Lazarus grubunun Güney Koreli web sunucularını hedefleyen bir dizi sofistike saldırı tespit etti.
Tehdit aktörleri, daha sonra ikinci aşamalı C2 altyapısına proxy iletişimi olan birinci aşama komut ve kontrol (C2) sunucuları olarak kullanılan ASP tabanlı web kabuklarını dağıtmak için IIS sunucularını ihlal ediyorlar.
Ocak 2025’te tanımlanan bu saldırılar, Mayıs 2024’te gözlenen benzer tekniklerin evrimini temsil eder ve bu devlet destekli tehdit grubundan kalıcı ve uyarlanabilir taktikleri işaret eder.
Lazarus Grubu, saldırı altyapılarını oluşturmak için meşru web sunucularından ödün vermenin tutarlı bir modelini gösterdi.
Ahnlab Güvenlik İstihbarat Merkezi (ASEC), yakın zamanda keşfedilen kampanyalarda saldırganların, “Function2.asp” dosya adı altında kaydedilen değiştirilmiş “Redhat hacker” web kabuğu da dahil olmak üzere savunmasız IIS sunucularına birden fazla ASP format web kabuğu yüklediğini bildiriyor.
“1234Qwer” şifresini kullanan önceki yinelemelerin aksine, en son varyant, operasyonel güvenlik önlemlerinde bir evrimi gösteren kimlik doğrulama mekanizması olarak “2345RDX” kullanır.
“File_uploader_ok.asp” ve “find_pwd.asp” adlı ek web mermileri de dağıtıldı ve saldırganlara dosya manipülasyonu, işlem işlemleri ve hatta SQL sorgu yürütme için kapsamlı özellikler sağladı.
Bu web kabukları, ilk kod çözülmesinden sonra bile VBE formatında kodlanmış, sofistike gizleme tekniklerini kullanır, bu da güvenlik ekipleri için tespit ve analizi zorlaştırır.
Bu web mermilerinin teknik karmaşıklığı komut yapılarında belirgindir. Kötü amaçlı kod, ikinci ve üçüncü baytların “Tamam” dizesini içerip içermediğini kontrol ederek başlatma paketlerini doğrular ve birinci baytı bir şifreleme anahtarı olarak kullanır.
İlgili web kabukları için “XDMCZ1EQ 😕 EKQ0D%C%R%JGY! Fjabtta0” ve “#n@bgjn8g5!
C2 Script işlevselliği ve evrimi
Ocak 2025 saldırılarında konuşlandırılan C2 betiği, tehlikeye atılan sistemler ile saldırganların altyapısı arasında bir vekil olarak işlev görür.
Önceki varyantlardan farklı olarak, yeni komut dosyası iletişim işlemi sırasında hem form verilerini hem de çerez verilerini destekler ve grubun araçlarının sürekli olarak iyileştirilmesini gösterir.
Komut dosyası, form verilerindeki “kod” alan değerine bağlı olarak çeşitli komutları işler.
Komutlar, verileri yeniden yönlendirmek için “MidRequest”, orta bilgi kaydetmek için “Proxycheck”, dosya işlemleri için “Readfile” ve “WriteFile”, “ClientHello” nu ve orta bilgi ile yanıt vermek için “WriteFile” ve saldırganların tehlikeye atılan sistem üzerindeki kontrolünü kolaylaştıran diğerlerini içerir.
Web mermilerinin ötesinde, saldırganlar ek yükler indirmek için Lazarloader kötü amaçlı yazılımları kullandı. Bu sofistike yükleyici, “Node.js_npmstart” olarak tanımlanan 16 baytlık bir anahtar kullanarak bellekte yükleri çözer ve yürütür.
Enfeksiyon zinciri genellikle W3WP.EXE IIS Web sunucusu işlemi aracılığıyla Web kabuğu kurulumu ve Lazarloader dağıtımıyla başlar.
Saldırganlar, UAC bypass teknikleri için bir paketleyici olarak işlev gören “Sup.etl” adlı bir kötü amaçlı yazılım bileşeni aracılığıyla ayrıcalık artışını uyguladılar.
Kötü amaçlı yazılım, “Rundll32.exe C: \ ProgramData \ usoshared \ sup.etl, serializemarkettable_32 x9nsb3iyuwidt6bzko5pgtmw -v 62 -m d:/www/www gibi komutları kullanır.[path]/ac_lst.exe ”ayrıcalık artışını yürütmek için.
“-V 62” parametresi, UAC bypass için “computerdefaults.exe” nin sömürülmesini gösterirken, diğer değerler “fodhelper.exe
Öneriler
Güvenlik araştırmacıları, yöneticilere web sunucularını, özellikle ASP tabanlı web kabuklarına odaklanarak dosya yüklemelerini etkinleştirebilecek güvenlik açıkları açısından kapsamlı bir şekilde incelemelerini tavsiye eder.
İlk uzlaşma meydana gelirse, yanal hareketi önlemek için düzenli şifre rotasyonu ve katı erişim kontrolleri gereklidir.
Kuruluşlar ayrıca şüpheli süreç oluşturma zincirleri için, özellikle W3WP.EXE’nin olağandışı süreçleri ortaya çıkaran olanlar için sağlam izleme uygulamalıdır.
Bilinen Lazarus Grubu Uzlaşma Göstergelerinin algılanmasını sağlamak için V3 gibi güvenlik çözümlerinde düzenli güncellemeler önerilir.
Lazarus tekniklerinin sürekli evrimi, dünya çapında kritik altyapıyı hedefleyen bu kalıcı gelişmiş tehdit aktörüne karşı proaktif güvenlik önlemlerinin önemini vurgulamaktadır.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.