Kötü şöhretli Lazarus Group’un alt kümelerinden biri olan BlueNoroff’un, Kaspersky araştırmacıları tarafından, hedeflerine ulaşmak için Windows MotW tarafından devreye alınan korumaları atlamak için yeni tekniklere yöneldiği gözlemlendi.
Dahil edilen yeni bulaşma zincirinin bir parçası olarak kullanılan dosyalar arasında aşağıdaki dosya türleri bulunmaktadır:-
- Optik disk görüntüsü (.ISO uzantısı)
- Sanal sabit disk (.VHD uzantısı)
Aktörün kullandığı birkaç senaryo var: –
- Visual Basic Komut Dosyası
- Windows Batch betikleri
Risk sermayesi şirketlerini ve bankaları taklit etme girişiminde BlueNoroff bir dizi sahte alan oluşturdu. Aşağıdaki adları içeren şirketleri ve bankaları taklit eden sahte alan adları bulundu:-
- ABF Sermayesi
- melek köprüsü
- DUYURU
- Amerika Bankası
- Mitsubishi UFJ Finans Grubu
Bu senaryoda, Japonya bu şirketlerin ve bankaların çoğuna ev sahipliği yapmaktadır. Sonuç olarak, kümelenmenin sahip olduğu bölgeye olan yoğun ilgiyi açıkça göstermektedir.
Uzun süren ilk enfeksiyon
Kaspersky, BAE’de bir bireye saldırmak için kullanılan kötü amaçlı bir Word belgesini içeren bir olay gözlemledi. 2 Eylül 2022’de kurban, müvekkilinin ayrıntılarını içeren “Shamjit Müşteri Ayrıntıları Form.doc” adlı bir belge dosyası aldı.
Bu belgenin yürütülmesi için aşağıdaki yol kullanılmıştır: –
- C:\Kullanıcılar\[username]\Masaüstü\SATIŞ OPERASYONLARI [redacted]\[redacted]\İmzalanmış Formlar ve Gelir Belgeleri\Shamjit Müşteri Ayrıntıları Form.doc
Dosya yolu incelendiğinde, kurbanın rolü şirket için sözleşme imzalamak olan satış departmanında çalışan bir işçi olduğu anlaşılıyor.
Kötü amaçlı belge başlatıldıktan sonra uzak sunucuya bağlanacak, yükü indirecek ve kötü amaçlı programı başlatacaktır. Özellikle, ieinstal.exe, bu özel durumda Kullanıcı Hesabı Denetimini (UAC) atlamak için kullanıldı.
Teknik Analiz
Operatör, sistemle ilgili temel bilgileri toplamak için bulaşma işlemi sırasında birkaç Windows komutu yürüttü.
Kötü amaçlı Word belgesi açılır açılmaz, bir sonraki yükü almak için uzak sunucuya ulaşır:
- İndirme URL’si: http://avid.lno-prima[.]lol/VcIf1hLJopY/shU_pJgW2Y/KvSuUJYGoa/sX+Xk4Go/gGhI=
Bu durumda, yük getirildikten sonra %Profile%\update.dll klasörüne kaydedilmelidir. Alınan dosyayı oluşturmak için aşağıdaki komutlar yürütülür: –
- Komut #1: rundll32.exe %Profile%\update.dll,#1 5pOygIlrsNaAYqx8JNZSTouZNjo+j5XEFHzxqIIqpQ==
- Komut #2: rundll32.exe %Profile%\update.dll,#1 5oGygYVhos+IaqBlNdFaVJSfMiwhh4LCDn4=
BlueNoroff grubu, aşağıdaki öğeleri içeren bir ZIP arşivi dahil olmak üzere bilgi almak için başka yöntemler de kullanır:-
- Parola korumalı bir sahte belge
- “Password.txt.lnk” adlı bir kısayol dosyası
Alternatif olarak, Windows’a bulaşmak için içine gömülü kötü amaçlı yazılım içeren bir toplu iş dosyasını başlatmak da mümkündür. Yük, LOLBin kullanılarak elde edilen ikinci aşama bir indirici kullanılarak uzaktan alınır ve yürütülür.
Bir dizi ülke ve BM, nükleer programıyla ilgili endişelerin bir sonucu olarak Kuzey Kore’ye ekonomik yaptırımlar uygulayarak, onları büyük bir tepki olarak siber savaş dayatmaya yöneltti. Ayrıca, kronik nakit krizi yaşayan bir ülke için en karlı gelir kaynaklarından biri haline geldi.
BlueNoroff grubu, siber saldırı yeteneklerinin yardımıyla milyonlarca dolar değerinde kripto para birimi çalmayı başardı.
Bu kanıt, bu grubun güçlü bir finansal çıkar tarafından motive edildiğini ve gerçekleştirdiği siber saldırılardan kar elde etmede nihayetinde başarılı olduğunu gösteriyor.
Güvenli Web Ağ Geçidi – Web Filtresi Kuralları, Etkinlik İzleme ve Kötü Amaçlı Yazılımdan Koruma – Ücretsiz E-Kitap İndirin