Kuzey Koreli APT grubu olan Lazarus (APT38), VMWare Horizon sunucularını kullanarak enerji sağlayıcılarının kurumsal ağlarına saldırıyor.
Grup tarafından saldırıya uğrayan enerji sağlayıcılarının kurumsal ağları şu ülkelerde bulunuyor:-
- Birleşik Devletler
- Kanada
- Japonya
Son birkaç yılda, Lazarus gerçekleştirilen bir dizi operasyonla tanınıyor ve devlet destekli bir tehdit grubu.
Uluslararası alanda, bu grubun tehdit aktörleri tarafından yüzlerce sofistike saldırı gerçekleştirildi. Aşağıda Lazarus grubu tarafından yürütülen başlıca operasyonlardan bahsettik: –
- Casusluk
- Veri hırsızlığı
- Kripto para çalma kampanyaları
Kullanılan Özel Kötü Amaçlı Yazılım Aileleri
Devam eden tehdit algılama çabalarının bir parçası olarak, Cisco Talos güvenlik analistleri mevcut operasyonu ortaya çıkardı. Şubat ve Temmuz 2022 arasında Lazarus altındaki enerji kuruluşlarına ilk erişim için bir dizi VMware Horizon istismarı kullanıldı.
Grubun operatörleri, virüslü cihazları belirlemek ve hatta onlardan veri çalmak için aşağıdakiler gibi özel kötü amaçlı yazılım aileleri kullandı:-
Saldırı Akışı
Lazarus’un TTP’lerini ortaya çıkarmak ve çok yönlülüklerini göstermek için Cisco Talos, Lazarus tarafından kullanılan bir dizi saldırı stratejisi sunar.
İlk senaryoda, savunmasız VMWare sunucularının tehdit aktörleri tarafından istismar edildiğini belirtmek önemlidir. Esas olarak Log4Shell’e karşı savunmasız olan sunucuları hedeflediler.
Saldırı, üzerinde rastgele komutların yürütülebileceği bir ters kabuk oluşturan güvenliği ihlal edilmiş uç noktada kabuk kodunu yürütmek üzere tasarlanmıştır.
VSingle Lazarus’u dağıtmadan önce, aşağıdaki bileşenlerin yardımıyla Windows Defender’ı devre dışı bırakır: –
- Kayıt defteri anahtarı değişikliği
- WMIC
- PowerShell komutları
Bu, VMWare Horizon’un yüksek ayrıcalıklarla çalışması nedeniyle mümkün olsa da. Burada VSingle, aşağıdakiler gibi çeşitli gelişmiş özellikler sunan bir arka kapıdır: –
- Gelişmiş ağ keşif komutları desteklenir.
- Kimlik bilgileri hırsızlığına elverişli bir ortam yaratır.
- Ana bilgisayarda yeni yönetici kullanıcıların oluşturulması gerçekleştirilir.
- Bir ters kabuk bağlantısı kurarak C2’nin işlevselliğini artıran eklentiler elde eder.
İkinci senaryodaki erişim ve keşif prosedürleri, birinci senaryoya benzer bir model izlemektedir. VSingle ve MagicRAT, bu sefer bilgisayar korsanları tarafından bırakılan diğer kötü amaçlı yazılımlardan ikisi.
Bilgisayar korsanlığı grubu Lazarus, YamaBot’u üçüncü senaryoda kullanır. Go programlama dilinde yazılmış özel bir kötü amaçlı yazılımdır.
YamaBot’un sunduğu birkaç standart RAT özelliği vardır, örneğin: –
- Dosyaları ve dizinleri listeleyin.
- İşlem bilgilerini C2’ye gönderin.
- Uzak konumlardan dosya indirin.
- Uç noktalarda rastgele komutlar yürütün.
- Kendini kaldır.
Mimikatz ve Procudumps, bazı durumlarda bilgisayar korsanları tarafından kullanılan iki araçtı. Ayrıca bazı durumlarda, AD kimlik bilgilerini içeren kayıt defteri kovanlarının kopyalarının çalındığı da bildirilmiştir.
Ücretsiz Yazılım Yazılımını İndirin – Güvenli Web Filtreleme – E-kitap