Kuzey Kore bağlantılı Lazarus Group tarafından başlatılan kötü niyetli bir kampanya, Amerika Birleşik Devletleri, Kanada ve Japonya’da bulunanlar da dahil olmak üzere dünyanın dört bir yanındaki enerji sağlayıcılarını hedef alıyor.
Cisco Talos, The Hacker News ile paylaşılan bir raporda, “Kampanya, uzun vadeli erişim sağlamak ve ardından düşmanın ulus devletini ilgilendiren verileri sızdırmak için dünyanın dört bir yanındaki kuruluşlara sızmayı amaçlıyor.” Dedi.
Broadcom’un sahibi olduğu Symantec ve AhnLab’ın bu Nisan ve Mayıs ayı başlarındaki raporları sayesinde casusluk saldırılarının bazı unsurları şimdiden kamu malı haline geldi.
Symantec operasyonu, Andariel, Guardian of Peace, OperationTroy ve Silent Chollima olarak bilinen bir Lazarus alt grubu olan Stonefly olarak adlandırılan bir gruba bağladı.
Bu saldırılar daha önce Preft (aka Dtrack) ve NukeSped (aka Manuscrypt) implantlarının kullanılmasına yol açmış olsa da, en son saldırı dalgası diğer iki kötü amaçlı yazılım parçasının kullanılmasıyla dikkat çekiyor: Uzak bir ağdan rastgele kod yürüten bir HTTP botu olan VSingle, ve YamaBot adında bir Golang arka kapısı.
Kampanyada ayrıca, tespit edilmekten kaçınma ve virüslü sistemlerde ek yükler başlatma yetenekleriyle birlikte gelen MagicRAT adlı yeni bir uzaktan erişim truva atı da kullanılıyor.
Araştırmacılar Jung soo An, Asheer Malhotra ve Vitor Ventura, “Her iki saldırıda da aynı taktikler uygulanmış olsa da, ortaya çıkan kötü amaçlı yazılım implantları birbirinden farklıydı ve bu da Lazarus’un emrinde çok çeşitli implantlar bulunduğunu gösteriyor” dedi. .
Kurumsal ağlara ilk erişim, VMware ürünlerindeki (örneğin, Log4Shell) güvenlik açıklarından yararlanılarak kolaylaştırılır ve nihai hedef, Kuzey Kore hükümetinin amaçlarını destekleyen faaliyetleri gerçekleştirmek için kalıcı erişim sağlamak.
VSingle’ın tek bir saldırı zincirinde kullanılmasının, tehdit aktörünün keşif, sızma ve manuel arka kapı açma gibi çeşitli faaliyetleri gerçekleştirmesini sağladığı ve operatörlere kurban ortamı hakkında sağlam bir anlayış kazandırdığı söyleniyor.
Ismarlama kötü amaçlı yazılım kullanımının yanı sıra grubun benimsediği diğer taktikler arasında Mimikatz ve Procdump gibi araçlar aracılığıyla kimlik bilgilerinin toplanması, antivirüs bileşenlerinin devre dışı bırakılması ve Active Directory hizmetlerinin keşfi ve hatta uç noktada arka kapıları etkinleştirdikten sonra izlerini temizlemek için adımlar atılması yer alıyor.