Lazarus Group olarak bilinen üretken Kuzey Koreli ulus-devlet aktörü, adı verilen yeni bir uzaktan erişim truva atına bağlandı. MagicRAT.
Cisco Talos, The Hacker News ile paylaşılan bir raporda, daha önce bilinmeyen kötü amaçlı yazılım parçasının, başlangıçta internete yönelik VMware Horizon sunucularının başarılı bir şekilde kullanılmasıyla ihlal edilen kurban ağlarında konuşlandırıldığı söyleniyor.
Talos araştırmacıları Jung soo An, Asheer, “Göreceli olarak basit bir RAT yeteneği olmasına rağmen, yalnızca insan analizini daha zor hale getirmek ve makine öğrenimi ve buluşsal yöntemler yoluyla otomatik algılamayı daha az olası kılmak amacıyla Qt Çerçevesine başvurularak inşa edildi.” Malhotra ve Vitor Ventura söyledi.
APT38, Dark Seoul, Hidden Cobra ve Zinc olarak da bilinen Lazarus Group, Kuzey Kore hükümeti tarafından ülkeye uygulanan yaptırımları atlatmanın ve stratejik hedeflerini karşılamanın bir yolu olarak gerçekleştirilen bir dizi finansal amaçlı ve casusluk odaklı siber faaliyetlere atıfta bulunuyor. hedefler.
Winnti ve MuddyWater gibi diğer şemsiye kolektifler gibi, devlet destekli bilgisayar korsanlığı kolektifinin de Bluenoroff ve Andariel gibi belirli türde saldırılara ve hedeflere odaklanan “spin-off” grupları var.
Bluenoroff alt grubu, yabancı finans kuruluşlarına saldırmaya ve para hırsızlığı yapmaya odaklanırken, Andariel, kendisini Güney Koreli kuruluşlar ve işletmeler peşinde koşmaya adamıştır.
Siber güvenlik firması NCC Group, tehdit aktörünü detaylandıran bir raporda, “Lazarus kendi saldırı araçlarını ve kötü amaçlı yazılımlarını geliştiriyor, yenilikçi saldırı teknikleri kullanabiliyor, çok metodik çalışıyor ve zaman alıyor” dedi.
“Özellikle, Kuzey Kore yöntemleri, güvenlik ürünleri tarafından algılanmayı önlemeyi ve saldırıya uğramış sistemlerde mümkün olduğunca uzun süre algılanmadan kalmayı amaçlıyor.”
Geniş kapsamlı kötü amaçlı yazılım araç setine yapılan en son ekleme, grubun hedeflerine ve amaçlarına bağlı olarak çok sayıda taktik ve teknik kullanma becerisini gösteriyor.
C++ tabanlı bir implant olan MagicRAT, güvenliği ihlal edilmiş sistemde zamanlanmış görevler oluşturarak kalıcılık sağlamak için tasarlanmıştır. Ayrıca “oldukça basittir”, çünkü saldırgana rastgele komutları yürütmesi ve dosya işlemlerini gerçekleştirmesi için bir uzak kabuk sağlar.
MagicRAT, virüslü ana bilgisayarlarda uzak bir sunucudan alınan ek yükleri de başlatabilir. Komut ve kontrol (C2) sunucusundan alınan yürütülebilir dosyalardan biri bir GIF görüntü dosyası biçimini alır, ancak gerçekte hafif bir bağlantı noktası tarayıcıdır.
Ayrıca, MagicRAT ile ilişkili C2 altyapısının, daha önce Andariel’e atfedilen ve komutları yürütmek, ekran görüntüleri almak, tuş vuruşlarını kaydetmek ve sistem bilgilerini toplamak için tasarlanmış bir arka kapı olan TigerRAT’ın daha yeni sürümlerini barındırdığı ve bunlara hizmet ettiği bulunmuştur.
En son sürümde ayrıca, web kameralarından video yakalama uygulaması için zemin hazırlamanın yanı sıra, düşmanın belirli uzantılara sahip dosyaları aramasına olanak tanıyan bir USB Dökümü özelliği de bulunuyor.
Araştırmacılar, “MagicRAT’ın vahşi doğada keşfi, Lazarus’un TigerRAT gibi önceden bilinen kötü amaçlı yazılımlarıyla birlikte dünya çapındaki kuruluşları hedef almak için hızla yeni, ısmarlama kötü amaçlı yazılımlar oluşturma motivasyonlarının bir göstergesidir” dedi.