Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Sosyal Mühendislik
Lazarus, Hedef Havacılık ve Uzay Firmasına Yeni Arka Kapı Kullanıyor
Vasudevan Nair •
1 Ekim 2023
Araştırmacılar, Kuzey Kore destekli Lazarus Grubu tarafından bir İspanyol havacılık şirketini hedeflemek için kullanılan LightlessCan adlı belgelenmemiş bir arka kapı keşfettiler.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakendenin ATO ve Dolandırıcılığı Önleme Zorluklarıyla Mücadele
Eset araştırmacıları, havacılık firmasının bir çalışanının sahte bir iş fırsatıyla kandırıldığını söyledi. Saldırgan, Meta işe alım uzmanı kılığına girerek kurbanı kötü amaçlı kodları bir şirket cihazına indirip çalıştırması için kandırdı.
Bilgisayar korsanları, başarılı bir hedef odaklı kimlik avı kampanyasından ve Meta için işe alım uzmanı kılığına girdikten sonra geçen yıl şirketin ağına ilk erişimi elde etti.
Devam eden “DreamJob Operasyonu” adlı saldırı kampanyası Lazarus tarafından yürütülüyor; burada sahte bir işe alım uzmanı kurbana LinkedIn aracılığıyla ulaşıyor ve işe alım sürecinin bir parçası olarak gereken iki kodlama sorusunu gönderiyor.
“Saldırının en endişe verici yönü, tasarımında ve işletiminde yüksek düzeyde gelişmişlik sergileyen, önceki BlindingCan ile karşılaştırıldığında kötü amaçlı yeteneklerde önemli bir ilerlemeyi temsil eden, karmaşık ve muhtemelen gelişen bir araç olan yeni tür yük LightlessCan’dır. ” dedi araştırmacılar.
Son zamanlarda federal yetkililer, Lazarus grubunun sağlık ve kamu sağlık sektörü kuruluşlarına yönelik, Zoho’nun 24 ManageEngine BT yönetim aracındaki kritik bir güvenlik açığından yararlanılmasını içeren potansiyel saldırıları konusunda “önemli risk” konusunda uyarıda bulundu.
ABD Sağlık ve İnsani Hizmetler Bakanlığı Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi tarafından yayınlanan uyarıda, siber suçlu grubunun CVE-2022 olarak takip edilen bir güvenlik açığından yararlanarak Avrupa ve ABD’deki “internet omurgası altyapısını ve sağlık kuruluşlarını” hedef aldığı konusunda uyarıda bulunuldu. -47966.
Yetkililer ayrıca, saldırganın diğer yeteneklerin yanı sıra keyfi komutlar çalıştırmasına izin vererek çoğu RAT gibi çalıştığı anlaşılan CollectionRAT adlı yeni bir kötü amaçlı yazılım aracı hakkında da uyarıda bulundu. CollectionRAT’ın, daha önce Lazarus alt grubu Andariel ile bağlantılı olan Jupiter/EarlyRAT kötü amaçlı yazılım ailesiyle bağlantılı olduğuna inanılıyor.
Son Kampanya
En son kampanyada saldırganlar, hedefi bir iş teklifinin tüm içeriğini görmek için kötü amaçlı bir PDF görüntüleyici çalıştırmaya ikna etmek gibi farklı stratejiler kullanarak kurbanları sistemlerinden ödün vermeye ikna etti. Veya kurbanı, IP adresi ve oturum açma ayrıntıları sağlanan Truva Atı ile kaplanmış bir SSL/VPN istemcisine bağlanmaya teşvik ederler.
İşe alma sürecinin bir parçası olarak kurban, üçüncü taraf bir bulut depolama platformunda barındırılan Quiz1.iso ve Quiz2.iso görüntüleri aracılığıyla teslim edilen Quiz1.exe ve Quiz2.exe adlı iki kötü amaçlı yürütülebilir dosyayı alır.
Kurban bilmeden bu dosyaları bir şirket cihazına indirir ve çalıştırır.
Araştırmacılar, “İlk zorluk, ‘Merhaba Dünya!’ metnini gösteren çok basit bir projedir” dedi. “İkincisi, girdi olarak girilen sayıdan daha küçük olan en büyük öğeye kadar bir Fibonacci dizisini yazdırır. Bir Fibonacci dizisi, her sayının önceki iki sayının toplamı olduğu, genellikle 0 ve 1 ile başlayan bir sayı dizisidir.” Ancak bu kötü niyetli kampanya dizisi 1 ve 2 ile başlıyor.
Çıktı yazdırıldıktan sonra, her iki yürütülebilir dosya da ISO görüntülerinden hedefin sistemine ek yükler yüklemek gibi kötü niyetli bir eylemi tetikler.
Kurbanların cihazına gönderilen ilk yük, NickelLoader adlı bir HTTP(S) indiricisidir. Bu, saldırganların istenen herhangi bir programı kurbanın bilgisayarının belleğine yerleştirmesine olanak tanır.
NickelLoader, saldırganlar tarafından iki tür RAT sunmak için kullanılıyor; BlindingCan arka kapısının sınırlı işlevselliğe sahip ancak komut işleme mantığı açısından aynı olan bir çeşidi ve yeni tanıtılan LightlessCan.
Eset’teki araştırmacılar LightlessCan’ı, grubun amiral gemisi HTTP(S) Lazarus RAT adlı BlindingCan’ın halefi olarak adlandırdı. Araştırmacılar, özel bir işlev tablosunda indekslenen 68’e kadar farklı komutu destekleyebildiğini, ancak mevcut sürüm 1.0’da bu komutlardan yalnızca 43’ünün bazı işlevlerle uygulandığını söyledi.
“Geri kalan komutlar mevcut ancak yer tutucular şeklinde resmi bir uygulamaya sahipler ve gerçek işlevsellikten yoksunlar. RAT’ın arkasındaki proje kesinlikle BlindingCan kaynak kodunu temel alıyor, çünkü paylaşılan komutların sırası önemli ölçüde korunuyor. araştırmacılar, indekslemelerinde farklılıklar olabilir” dedi.
Araştırmacılar, saldırganların, güvenlik ihlali sonrası faaliyetlerinde kullanılan Windows komut satırı programlarının yürütme izlerini önemli ölçüde sınırlayabildiğini ve bunun geniş kapsamlı sonuçlara sahip olabileceğini, hem gerçek zamanlı izleme çözümlerinin hem de ölüm sonrası çözümlerin etkinliğini etkileyebileceğini söyledi. dijital adli araçlar.