Tıbbi araştırma kuruluşlarını ve enerji firmalarını hedef alan bir siber saldırı kampanyası, çete üyeleri tarafından yapılan bir operasyonel güvenlik hatasının faaliyetini ifşa etmesinden sonra, 2017 WannaCry olayının arkasındaki grup olan Lazarus olarak bilinen kötü şöhretli Kuzey Koreli gelişmiş kalıcı tehdit (APT) grubuna bağlandı. .
Finlandiya’daki WithSecure’daki araştırmacılar, Elements bulut yerel güvenlik platformunu kullanan bir müşteriye yönelik sıradan bir fidye yazılımı saldırısı gibi görünen bir şeyi tespit ettikten sonra hikayeyi anladı. Ancak çok geçmeden başka bir şeyin olduğu anlaşıldı.
“Başlangıçta bunun bir BianLian fidye yazılımı saldırısı olduğundan şüphelenilse de, topladığımız kanıtlar hızla farklı bir yöne işaret etti. WithSecure kıdemli tehdit istihbaratı araştırmacısı Sami Ruohonen, “Daha fazla kanıt topladıkça, saldırının Kuzey Kore hükümetiyle bağlantılı bir grup tarafından gerçekleştirildiğinden emin olduk ve sonunda bu grubun Lazarus Grubu olduğu sonucuna vardık” dedi.
Araştırılan olay, çetenin Ağustos 2022’de yamasız internete bakan Zimbra sunucularındaki CVE-2022-27295 ve CVE-2022-37042 güvenlik açıklarından yararlanarak ilk erişim ve ayrıcalık artışı elde ettiğini gördü. meşru Windows ve Unix araçlarını kötüye kullandı ve proxy, tünel ve geçiş bağlantıları için yüklü araçlar.
Gözlemlenen komuta ve kontrol (C2) davranışı, az sayıda C2 sunucusunun çoklu geçişler ve uç noktalar aracılığıyla bağlandığını ve bazı sunucuların güvenliği ihlal edilmiş diğer kurbanlara ait olduğunu gösteriyor. Son olarak, 5-11 Kasım 2022 tarihleri arasında, saldırgan yaklaşık 100 GB veri çaldı ancak herhangi bir yıkıcı eylemde bulunmadı.
Saldırganın hatası ve WIthSecure ekibinin sonuca varmasındaki kilit faktör, Kuzey Kore’ye ait olduğu bilinen binden az IP adresinden birinin kısa süreliğine kullanılmasıydı.
Ekip, kurbanın ağ günlüklerini incelerken Kuzey Kore IP adresinden tek bir bağlantı örneği buldu – 174.45.176[.]27 – günün başında. Bu bağlantı önceki günlerde yapıldı ve kısa bir gecikmeden sonra bir proxy adresinden – 209.95.60 – bağlantılar geldi.[.]92.
Ekip, “Bu örneğin, tehdit aktörünün çalışma günlerinin başlangıcındaki bir operasyonel güvenlik hatası olduğundan şüpheleniyoruz ve küçük bir gecikmeden sonra amaçlanan yoldan geri döndüler” diye yazdı.
“Bu, Kuzey Kore IP adreslerinin doğrudan Kuzey Kore hükümeti tarafından kontrol edilen ve kullanılan üç/24 ağ olduğu için önemlidir ve bu nedenle, bu faaliyetin bir Kuzey Kore devlet aktörü tarafından başlatılmış olması son derece muhtemeldir.”
Ekip, bilinen diğer Lazarus kampanyalarıyla gözlemlenen araç çakışmaları, diğer kampanyalarla parola kullanım benzerlikleri, kurban profili oluşturma ve saat dilimi analizi sayesinde ilişkilendirmeyi sağlamlaştırabildi.
Tüm kanıtlara göre, söz konusu saldırının enerji, araştırma, savunma ve sağlık sektörlerinde çalışan sağlık araştırmacıları, kimya mühendisleri ve teknoloji üreticilerini hedef alan daha geniş bir kampanyanın parçası olduğu artık neredeyse kesinlik kazanmış durumda.
Lazarus’un bu konudaki nihai amacı, sık sık görülen kripto para birimi soygunlarının yanı sıra Kuzey Koreli aktörlerin sık sık hedeflediği Kuzey Kore hükümeti adına istihbarat toplamaktı.
Bununla birlikte, BianLian fidye yazılımına olası bağlantıyı çevreleyen bazı gizemler devam ediyor. WithSecure’un tespit ettiği Cobalt Strike etkinliğinin daha önce finansal olarak motive olmuş BianLian grubuyla ilişkili olarak tanımlanan bir sunucuya işaret ettiği için bundan ilk başta şüphelenildi. Ancak daha sonraki araştırmalar, BianLian ile Kuzey Kore’nin saldırı siber operasyonları arasında kesin bir bağlantı kuramadı ve var olup olmadığını söylemek mümkün değil.
gardını düşürme
Bu durumda, Lazarus operatörünün kasıtsız hatası, araştırmacılara yardımcı oldu ve tehdit aktörlerinin yalnızca insan olduğunu ve herkes gibi hatalar yapabileceğini bilmek biraz sevindirici.
Bununla birlikte, WithSecure tehdit istihbaratı başkanı Tim West, bunu Lazarus hakkında çok fazla endişelenmemek için bir neden olarak yorumlamak isteyen herkesin kendi başına kritik bir hata yapacağını söyledi.
“Opsec başarısızlığına rağmen, oyuncu iyi bir tradecraft sergiledi ve yine de dikkatle seçilmiş uç noktalarda üzerinde düşünülmüş eylemler gerçekleştirmeyi başardı” dedi.
“Doğru uç nokta algılama teknolojilerine sahip olsa bile, kuruluşların, özellikle yetenekli ve becerikli düşmanlara karşı derinlemesine daha iyi savunma sağlamak için uyarılara nasıl yanıt vereceklerini sürekli olarak düşünmeleri ve odaklanmış tehdit istihbaratını düzenli avlarla entegre etmeleri gerekiyor” dedi.
Tam, derinlemesine araştırma buradan okunabilir.