Üretken Kuzey Kore devlet destekli Lazarus Group ile bağlantılı yeni bir istihbarat toplama kampanyası, kurban sistemlerini tehlikeye atmak için yama uygulanmamış Zimbra cihazlarındaki bilinen güvenlik kusurlarından yararlandı.
Olaya kod adını veren Finlandiyalı siber güvenlik şirketi WithSecure’a (eski adıyla F-Secure) göre bu böyle. ananas yok arka kapılardan birinde kullanılan bir hata mesajına istinaden.
Kötü niyetli operasyonun hedefleri arasında Hindistan’daki bir sağlık araştırma kuruluşu, önde gelen bir araştırma üniversitesinin kimya mühendisliği bölümü ve ayrıca enerji, araştırma, savunma ve sağlık sektörlerinde kullanılan bir teknoloji üreticisi yer alıyor. Zincir.
Yaklaşık 100 GB verinin, isimsiz bir müşterinin ele geçirilmesinin ardından bilgisayar korsanlığı ekibi tarafından ihraç edildiği tahmin ediliyor ve dijital izinsiz giriş muhtemelen 2022’nin üçüncü çeyreğinde gerçekleşecek.
WithSecure, The Hacker News ile paylaşılan ayrıntılı bir teknik raporda, “Tehdit aktörü, Ağustos ayının sonunda savunmasız bir Zimbra posta sunucusunu kullanarak ağa erişim sağladı.” Dedi.
İlk erişim için kullanılan güvenlik açıkları CVE-2022-27925 ve CVE-2022-37042’dir; bunların her ikisi de temel alınan sunucuda uzaktan kod yürütme elde etmek için kötüye kullanılabilir.
Bu adım, web kabuklarının yüklenmesi ve Zimbra sunucusundaki (örn. Pwnkit, diğer adıyla CVE-2021-4034) yerel ayrıcalık yükseltme güvenlik açığından yararlanılmasıyla başarıldı ve böylece tehdit aktörünün hassas posta kutusu verilerini toplamasına olanak sağlandı.
Ardından, Ekim 2022’de, düşmanın yanal hareket, keşif gerçekleştirdiği ve nihayetinde Dtrack ve GREASE’in güncellenmiş bir versiyonu gibi arka kapılar konuşlandırdığı söyleniyor.
Kimsuky adlı Kuzey Kore’ye bağlı başka bir tehdit kümesinin eseri olarak nitelendirilen GREASE, uzak masaüstü protokolü (RDP) ayrıcalıklarına sahip yeni yönetici hesapları oluşturma ve güvenlik duvarı kurallarını aşma yetenekleriyle birlikte gelir.
Öte yandan Dtrack, çeşitli sektör dikeylerini hedefleyen siber saldırılarda ve ayrıca Maui fidye yazılımının kullanımını içeren mali amaçlı saldırılarda kullanılmıştır.
“Kasım ayının başında, Cobalt Strike [command-and-control] Araştırmacılar Sami Ruohonen ve Stephen Robinson, dahili bir sunucudan iki tehdit aktörünün IP adresine işaretçilerin tespit edildiğini belirterek, veri sızıntısının 5 Kasım 2022’den 11 Kasım 2022’ye kadar gerçekleştiğini ekledi.
İzinsiz girişte ayrıca kurban sistemde bir proxy oluşturmak için Plink ve 3Proxy gibi araçlar kullanıldı ve Cisco Talos’un Lazarus Group’un enerji sağlayıcıları hedef alan saldırıları hakkındaki önceki bulgularını tekrarladı.
Kuzey Kore destekli bilgisayar korsanlığı grupları, rejimin stratejik öncelikleriyle uyumlu bir dizi hem casusluk odaklı hem de kripto para birimi soygunları yürüterek yoğun bir 2022 geçirdi.
Son zamanlarda, APT38, Copernicium, Stardust Chollima ve TA444 adlarıyla da bilinen BlueNoroff kümesi, eğitim, finans, hükümet ve sağlık sektörlerini hedefleyen geniş kapsamlı kimlik bilgileri toplama saldırılarıyla bağlantılıydı.