Kuzey Koreli Lazarus bilgisayar korsanlığı grubu, “Ananas Yok!” olarak bilinen yakın tarihli bir siber casusluk operasyonunun arkasındaki suçlu olarak belirlendi. Bu atama, grubun kötü niyetli faaliyetlerini ve karmaşık siber saldırıları gerçekleştirme yeteneğini vurgular.
“Ananas Yok!” siber casusluk kampanyasında, bilgisayar korsanlığı grubu herhangi bir zarara veya zarara yol açmadan gizli bir şekilde hedefinden 100 GB veri çıkarmayı başardı.
Eskiden F-Secure olarak bilinen WithSecure, siber casusluk kampanyasına “Ananas Yok!” adını verdi. Kuzey Koreli Lazarus bilgisayar korsanlığı grubu tarafından kullanılan arka kapılardan birinde bulunan bir hata mesajı nedeniyle.
Lazarus bilgisayar korsanlığı grubu, “Ananas Yok!” programının bir parçası olarak hedeflerinin sistemlerine sızmak ve bu sistemleri tehlikeye atmak için yama uygulanmamış Zimbra cihazlarındaki bilinen güvenlik açıklarını kullandı. siber casusluk kampanyası.
Hedef Kuruluşlar tarafından Lazarus Grubu
“Ananas Yok!” Lazarus bilgisayar korsanlığı grubu tarafından yönetilen siber casusluk kampanyası, Ağustos’tan Kasım 2022’ye kadar sürdü ve belirli sektörlerdeki kuruluşları hedef aldı.
Bu süre zarfında, bu tehdit aktörleri çabalarını aşağıdaki sektörlere yöneltti:-
- Tıbbi araştırma
- Sağlık hizmeti
- Kimya Mühendisliği
- Enerji
- Savunma
- Önde gelen bir araştırma üniversitesi
Ağustos ayının sonunda, Lazarus bilgisayar korsanlığı grubu, bir Zimbra posta sunucusundaki bir zayıflıktan yararlanarak ağa girmeyi başardı. WithSecure, “Ananas Yok!” çeşitli kanıtlarla Lazarus hack grubuna siber casusluk kampanyası yürütürken, aynı zamanda grubun taktik ve yöntemlerindeki bazı yeni gelişmeleri de gözlemliyor. Bunlar dahil:-
Yeni altyapıda alan adı olmayan IP adresleri kullanılmaktadır.
Dtrack info-stealer kötü amaçlı yazılımı yeni bir sürümle güncellendi.
GREASE kötü amaçlı yazılımı, yönetici hesapları oluşturmaya ve korumayı atlamaya izin veren yeni bir özellik içerecek şekilde güncellendi.
İstismar Edilen Kusurlar Hacker Grubu tarafından
22 Ağustos 2022’de Lazarus bilgisayar korsanlığı grubu, Zimbra posta sunucusundaki iki güvenlik açığından yararlanarak kurbanın ağına başarıyla girdi ve burada aşağıda bahsediliyor:-
Uzaktan kod yürütülmesine izin veren CVE-2022-27925 güvenlik açığı, Mayıs 2022’de bir yama ile giderildi. Ancak kimlik doğrulama atlama güvenlik açığı (CVE-2022-37042), Zimbra 12 Ağustos’ta bir güvenlik güncellemesi yayınlayana kadar düzeltilmedi. , 2022.
O zamana kadar bir dizi tehdit aktörü onu çoktan kullanmıştı. Ağın başarılı bir şekilde ele geçirilmesinin ardından, Lazarus bilgisayar korsanlığı grubu, kendi altyapılarına bağlanan ters tüneller oluşturmak için aşağıdaki tünel açma araçlarını kullandı:-
Bu, tehdit aktörlerinin güvenlik duvarını atlamasına ve kurbanın ağına sürekli erişimi sürdürmesine izin verdi. İzinsiz girişten yaklaşık bir hafta sonra WithSecure, saldırganların değiştirilmiş komut dosyaları kullanarak sunucudan yaklaşık 5 gigabayt e-posta iletisi çıkarmaya başladığını bildirdi.
Mesajlar, yerel olarak kaydedilen ve ardından tehdit aktörlerinin kontrolü altındaki sunucuya yüklenen bir CSV dosyasında saklanırken.
Saldırı, saldırganların iki aydan fazla bir süredir ağda bulunmasının ardından 5 Kasım 2022’de doruk noktasına ulaştı. Saldırının sonucu, kurban kuruluştan 100 GB verinin çalınması oldu.
Yapılan Hatalar
Lazarus gibi en gelişmiş ve yetenekli siber suç örgütleri için bile hatalar nadir değildir. Bu özel örnekte, bir yanlış adım, bilgisayar korsanlığı kampanyasını grupla ilişkilendirme yeteneğiyle sonuçlandı.
Etkilenen sistemden elde edilen ağ günlükleri üzerinde WithSecure tarafından yürütülen bir araştırma, saldırganlar tarafından yerleştirilen web kabuklarından birinin Kuzey Koreli bir IP adresiyle, özellikle “175.45.176” ile iletişim kurduğunu ortaya çıkardı.[.]27”.
Tartışılan olay, günün şafağında meydana geldi ve öncesinde bir proxy adresinden gelen bağlantılar yaşandı. Bu, tehdit aktörünün kendi tarafındaki bir hata nedeniyle iş gününün başında yanlışlıkla kendini ifşa etmiş olabileceğinin bir göstergesidir.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin