Güney Kore’deki en az altı kuruluş, üretken Kuzey Kore bağlantılı Lazarus Grubu tarafından adlandırılan bir kampanyanın bir parçası olarak hedeflendi. Operasyon Senkoli.
Bugün yayınlanan Kaspersky’nin bir raporuna göre, etkinlik Güney Kore’nin yazılımı, BT, Finansal, Yarı İletken Üretimi ve Telekomünikasyon Endüstrileri’ni hedef aldı. En erken uzlaşma kanıtı ilk olarak Kasım 2024’te tespit edildi.
Güvenlik araştırmacıları Sojun Ryu ve Vasily Berdnikov. “Yanal hareket için Innorix ajanında bir günlük bir güvenlik açığı da kullanıldı.”
Saldırılar, Tehdit, Agamemnon, Wagent, Signbt ve Copperhedge gibi bilinen Lazarus araçlarının varyantlarının yolunu açtılar.
Bu müdahaleleri özellikle etkili kılan şey, çevrimiçi bankacılık ve hükümet web sitelerinde güvenlik yazılımının kullanımını sağlamak için Güney Kore’de yaygın olan meşru bir yazılım olan Cross Ex’de bir güvenlik açığının muhtemel kullanılmasıdır.
Rus siber güvenlik satıcısı, “Lazarus grubu bu özellikleri güçlü bir şekilde kavramak ve bu tür yazılımlardaki güvenlik açıklarını sulama deliği saldırılarıyla birleştiren Güney Kore hedefli bir strateji kullanıyor.” Dedi.
Innorix ajanında yanal hareket için bir güvenlik kusurunun sömürülmesi, Lazarus grubunun Andariel alt kümesi tarafından geçmişte Volgmer ve Andardoor gibi kötü amaçlı yazılımlar sunmak için benzer bir yaklaşımın da benimsenmesi nedeniyle dikkate değerdir.
En son saldırı dalgasının başlangıç noktası, hedefler çeşitli Güney Koreli çevrimiçi medya sitelerini ziyaret ettikten sonra Tehditneedle’nin konuşlandırılmasını etkinleştiren bir sulama deliği saldırısıdır. Sitelere inen ziyaretçiler, kötü amaçlı yazılımlara hizmet etmek için onları rakip kontrollü bir alana yönlendirmeden önce bir sunucu tarafı komut dosyası kullanılarak filtrelenir.
Araştırmacılar, “Yönlendirilen sitenin kötü amaçlı bir komut dosyası yürütmüş olabileceğini, hedef PC’ye kurulan Cross EX’de potansiyel bir kusuru hedeflediğini ve kötü amaçlı yazılım başlattığını değerlendiriyoruz.” Dedi. “Komut dosyası daha sonra meşru synchost.exe’yi yürüttü ve bu sürece bir tehdit çeşidi yükleyen bir kabuk kodu enjekte etti.”
Enfeksiyon dizisi, erken aşamalarda tehdit ve vagent ve daha sonra kalıcılık oluşturmak, keşif yapmak ve tehlikeye atılan konakçılarda kimlik bilgisi boşaltma araçları sağlamak için Signbt ve Copperhedge kullanılarak iki aşamayı benimsemek gözlemlenmiştir.
Ayrıca, kurban profili ve yük dağıtım için LPEClient gibi kötü amaçlı yazılım aileleri ve komut ve kontrol (C2) sunucusundan alınan ek yükleri indirmek ve yürütmek için Agamemnon olarak adlandırılan bir indirici, aynı zamanda yürütme sırasında güvenlik çözümlerini atlamak için cehennem kapı tekniğini dahil etmek için bir indiricidir.
Agamemnon tarafından indirilen bir yük, Innorix Agent dosya aktarım aracındaki bir güvenlik kusurunu kullanarak yanal hareketi gerçekleştirmek için tasarlanmış bir araçtır. Kaspersky, soruşturmasının, o zamandan beri geliştiriciler tarafından yamalı olan Innorix ajanında ek bir keyfi dosya indirme sıfır gün güvenlik açığını ortaya çıkardığını söyledi.
Kaspersky, “Lazarus Group’un Güney Kore’deki tedarik zincirlerini hedefleyen özel saldırılarının gelecekte devam etmesi bekleniyor.” Dedi.
“Saldırganlar aynı zamanda yeni kötü amaçlı yazılımlar geliştirerek veya mevcut kötü amaçlı yazılımları geliştirerek algılamayı en aza indirmek için çaba sarf ediyorlar. Özellikle, C2, komut yapısı ve veri gönderme ve alma şekliyle iletişimi geliştiriyorlar.”