Olarak bilinen Kuzey Kore bağlantılı tehdit aktörü Andariel adlı daha önce belgelenmemiş bir kötü amaçlı yazılımdan yararlandı. Erken Sıçan geçen yıl Log4j Log4Shell güvenlik açığından yararlanan saldırılarda.
Kaspersky yeni bir raporda “Andariel, bir Log4j istismarı yürüterek makinelere bulaşıyor ve bu da komuta ve kontrol (C2) sunucusundan daha fazla kötü amaçlı yazılım indiriyor” dedi.
Silent Chollima ve Stonefly olarak da adlandırılan Andariel, APT38’i (namı diğer BlueNoroff) ve Lazarus Group şemsiyesi altında toplu olarak izlenen diğer alt öğeleri de barındıran birincil bir bilgisayar korsanlığı birimi olan Kuzey Kore’nin Lab 110 ile ilişkilidir.
Tehdit aktörünün, stratejik çıkarları olan yabancı hükümet ve askeri kuruluşlara karşı casusluk saldırıları yürütmesinin yanı sıra, yaptırımlardan etkilenen ülkeye ekstra bir gelir kaynağı olarak siber suçlar gerçekleştirmesiyle biliniyor.
Cephaneliğindeki önemli siber silahlardan bazıları, Maui olarak adlandırılan bir fidye yazılımı türünü ve Dtrack (Valefor ve Preft olarak da bilinir), NukeSped (Manuscrypt olarak da bilinir), MagicRAT ve YamaBot gibi çok sayıda uzaktan erişim truva atı ve arka kapıyı içerir.
NukeSped, virüs bulaşmış ana bilgisayarda süreçler oluşturmak ve sonlandırmak ve dosyaları taşımak, okumak ve yazmak için bir dizi özellik içerir. NukeSped’in kullanımı, ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi (CISA) tarafından TraderTraitor adı altında izlenen bir kampanyayla örtüşüyor.
Andariel’in yama uygulanmamış VMware Horizon sunucularındaki Log4Shell güvenlik açığını silah haline getirmesi, daha önce 2022’de AhnLab Güvenlik Acil Müdahale Merkezi (ASEC) ve Cisco Talos tarafından belgelenmişti.
Kaspsersky tarafından keşfedilen en son saldırı zinciri, EarlyRat’ın sahte Microsoft Word belgeleri içeren kimlik avı e-postaları yoluyla yayıldığını gösteriyor. Dosyalar açıldığında, alıcılardan makroları etkinleştirmelerini ister, bu da truva atını indirmekten sorumlu VBA kodunun yürütülmesine yol açar.
Basit ama sınırlı bir arka kapı olarak tanımlanan EarlyRat, sistem bilgilerini toplayıp uzak bir sunucuya sızdırmanın yanı sıra isteğe bağlı komutları yürütmek için tasarlanmıştır. Ayrıca MagicRAT ile üst düzey benzerlikler paylaşıyor, PureBasic adlı bir çerçeve kullanılarak yazıldığından bahsetmiyorum bile. MagicRAT ise Qt Çerçevesini kullanır.
İzinsiz girişin diğer bir özelliği, hedefin daha fazla kullanılması için 3Proxy, ForkDump, NTDSDumpEx, Powerline ve PuTTY gibi kullanıma hazır yasal araçların kullanılmasıdır.
Kaspersky, “Bir APT grubu olmasına rağmen Lazarus, fidye yazılımı dağıtmak gibi tipik siber suç görevlerini yerine getirmesiyle tanınıyor ve bu da siber suç ortamını daha karmaşık hale getiriyor” dedi. “Ayrıca, grup çok çeşitli özel araçlar kullanıyor, sürekli olarak mevcut olanı güncelliyor ve yeni kötü amaçlı yazılımlar geliştiriyor.”