Andariel tehdit grubunun yerel işletmelere karşı sürekli saldırılar gerçekleştirdiği, özellikle saldırıyı gerçekleştirirken uzaktan ekran kontrolü için MeshAgent'ı kurduğu gözlemlendi.
MeshAgent, uzaktan yönetim için temel sistem bilgilerini toplar ve güç ve hesap yönetimi, sohbet veya mesaj açılır pencereleri, dosya yükleme/indirme ve komut yürütme gibi etkinlikleri gerçekleştirir.
Ayrıca uzak masaüstü desteği de bulunmaktadır. Web özellikle RDP ve VNC gibi uzak masaüstü protokollerini destekler.
AhnLab Güvenlik İstihbarat Merkezi (ASEC), Cyber Security News ile yaptığı paylaşımda “Saldırgan, başta AndarLoader ve ModeLoader olmak üzere kötü amaçlı kod yüklemek için yerel varlık yönetimi çözümlerinden yararlandı” dedi.
Şu anda Kore'yi hedef alan tehdit grupları arasında Andariel grubu, Kimsuky grubu ve Lazarus grubu yer alıyor.
İlk erişimin bir parçası olarak tedarik zinciri, hedef odaklı kimlik avı veya sulama deliği saldırıları başlattığı da biliniyor.
Kötü amaçlı yazılım, yüklü yazılımlardan veya saldırı sürecindeki kusurlardan yararlanılarak yayılır.
Birkaç Kötü Amaçlı Yazılım Arka Kapısı Kullanıldı
AndarLoader, Innorix Agent'ın kötüye kullanıldığı bir saldırı vakasında keşfedilen Andardoor'a benzer.
Ancak Andardoor'un aksine, AndarLoader tarafından kullanılan arka kapı işlevlerinin çoğunluğu, saldırganın komutlarını, .NET derlemesi gibi C&C sunucusundan elde edilen ikili, yürütülebilir veriler aracılığıyla gerçekleştirir.
Araştırmacılar, “AndarLoader, Dotfuscator aracıyla karartılan geçmiş türlerin aksine, bu sefer KoiVM kullanılarak karartılma ile karakterize edildiğini doğruladı” dedi.
Saldırgan, AndarLoader'ı ve “wevtutil cl güvenlik” komutunu kullanarak, güvenliği ihlal edilen sistemin güvenlik olay günlüğünü sildi.
Ayrıca MeshAgent, uzaktan yönetim için gereken temel sistem bilgilerini toplar.
MeshAgent'ın Andariel grubu tarafından kullanımı ilk olarak doğrulandı ve harici olarak “fav.ico” adı altında indirildi.
ModeLoader, Andariel grubunun geçmişte aralıksız kullandığı bir JavaScript kötü amaçlı yazılımıdır.
Bir dosya olarak oluşturulmak yerine Mshta aracılığıyla harici olarak indirilir ve çalıştırılır.
Araştırmacılar, “Saldırganlar esas olarak ModeLoader'ı indiren Mshta komutunu yürütmek için varlık yönetimi çözümlerinden yararlanıyor” dedi.
Araştırmacılar, saldırı kampanyasının bir özelliği doğruladığını söylüyor:
Saldırı vakalarının çoğunda keylogger kötü amaçlı yazılımı da tespit edildi.
Kötü amaçlı yazılım, panoya ve keylogger'a kopyalanan verileri kaydeder ve keylogging işlevi sunar.
Andariel grubu, Innorix Agent'ı önceki kullanımından bu yana, yatay hareket sırasında kötü amaçlı yazılım yaymak için sürekli olarak yerel işletmelerin varlık yönetimi çözümlerini kötüye kullanıyor.
Öneri
Kullanıcılar, web sitelerindeki yürütülebilir dosyaları veya bilinmeyen gönderenlerden gelen e-postaların eklerini açarken daha dikkatli olmalıdır.
Kurumsal güvenlik çalışanları, varlık yönetimi çözümü izlemeyi güçlendirmeli ve program güvenliği kusurları olduğunda düzeltmeleri uygulamalıdır.
Ayrıca işletim sistemleri ve web tarayıcıları için en son yamaları ve V3'ü güncelleyerek bu tür kötü amaçlı yazılımlardan etkilenmemek için önceden önlem alın.
Perimeter81 kötü amaçlı yazılım korumasıyla Truva atları, fidye yazılımları, casus yazılımlar, rootkit'ler, solucanlar ve sıfır gün saldırıları dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Hepsi inanılmaz derecede zararlıdır ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.