Kuzey Kore devleti destekli bir tehdit aktörü şu şekilde takip edildi: Elmas Karla karışık yağmur Tayvanlı bir multimedya yazılım geliştiricisi olan CyberLink tarafından bir tedarik zinciri saldırısı yoluyla alt müşterileri hedeflemek için geliştirilen meşru bir uygulamanın truva atı haline getirilmiş bir sürümünü dağıtıyor.
Microsoft Tehdit İstihbaratı ekibi Çarşamba günü yaptığı bir analizde, “Bu kötü amaçlı dosya, ikinci aşama veriyi indiren, şifresini çözen ve yükleyen kötü amaçlı kod içerecek şekilde değiştirilmiş meşru bir CyberLink uygulama yükleyicisidir.” dedi.
Teknoloji devi, zehirli dosyanın şirketin sahip olduğu güncellenmiş altyapıda barındırıldığını ve aynı zamanda güvenlik ürünleri tarafından yürütme ve bypass tespitine yönelik zaman penceresini sınırlamaya yönelik kontrolleri de içerdiğini söyledi.
Kampanyanın Japonya, Tayvan, Kanada ve ABD’de 100’den fazla cihazı etkilediği tahmin ediliyor. Değiştirilen CyberLink yükleyici dosyasıyla ilişkili şüpheli etkinlik, 20 Ekim 2023 gibi erken bir tarihte gözlemlendi.
Kuzey Kore ile olan bağlantılar, ikinci aşama veri yükünün, daha önce tehdit aktörü tarafından ele geçirilen komuta ve kontrol (C2) sunucularıyla bağlantı kurmasından kaynaklanıyor.
Microsoft ayrıca saldırganların bilgi teknolojisi, savunma ve medya sektörlerindeki kuruluşları hedef almak için truva atı haline getirilmiş açık kaynak ve özel yazılımlar kullandığını gözlemlediğini söyledi.
TEMP.Hermit ve Labyrinth Chollima olarak adlandırılan kümelerle birleşen Diamond Sleet, Lazarus Grubu olarak da adlandırılan Kuzey Kore kökenli bir şemsiye gruba verilen isimdir. En az 2013’ten beri aktif olduğu biliniyor.
Google’ın sahibi Mandiant geçen ay yaptığı açıklamada, “O zamandan beri yaptıkları operasyonlar, Pyongyang’ın Kuzey Kore’nin çıkarlarına fayda sağlayacak stratejik istihbarat toplama çabalarının bir göstergesidir.” dedi. “Bu aktör dünya çapında hükümeti, savunmayı, telekomünikasyonu ve finans kurumlarını hedef alıyor.”
İlginç bir şekilde Microsoft, LambLoad kod adı verilen kurcalanmış yükleyicinin dağıtımının ardından hedef ortamlarda klavye üzerinde herhangi bir uygulamalı etkinlik tespit etmediğini söyledi.
Silahlandırılmış indirici ve yükleyici, hedef sistemi CrowdStrike, FireEye ve Tanium’a ait güvenlik yazılımının varlığı açısından inceler ve mevcut değilse, uzak bir sunucudan PNG dosyası gibi görünen başka bir veri yükü getirir.
Microsoft, “PNG dosyası, sahte bir dış PNG başlığının içinde oyulmuş, şifresi çözülmüş ve bellekte başlatılan gömülü bir veri yükü içeriyor” dedi. Yürütülmesinin ardından, kötü amaçlı yazılım, ek yükleri almak için meşru ancak güvenliği ihlal edilmiş bir alan adıyla iletişim kurmaya çalışır.
Açıklamalar, Palo Alto Networks Birim 42’nin, Kuzey Koreli tehdit aktörleri tarafından hayali iş görüşmelerinin bir parçası olarak kötü amaçlı yazılım dağıtmak ve ABD ve dünyanın diğer yerlerindeki kuruluşlarda izinsiz istihdam elde etmek için tasarlanan ikiz kampanyaları ortaya çıkarmasından bir gün sonra geldi.
Geçtiğimiz ay Microsoft ayrıca Diamond Sleet’in JetBrains TeamCity’deki (CVE-2023-42793, CVSS puanı: 9,8) kritik bir güvenlik açığından yararlanarak savunmasız sunuculara fırsatçı bir şekilde saldırıda bulunduğunu ve ForestTiger olarak bilinen bir arka kapıyı dağıttığına da işaret etmişti.