Kuzeydoğu Asya kökenli olduğundan şüphelenilen ve qi’anxin tarafından APT-Q-1 olarak izlenen kötü şöhretli Lazarus Apt grubu, sofistike ClickFix sosyal mühendislik tekniğini siber casusluk operasyonlarına dahil ederek saldırı metodolojilerini geliştirdi.
Bu gelişme, grubun kurbanları aldatma ve hassas zeka verilerini gittikçe daha aldatıcı yollarla çalma yeteneklerinde önemli bir artışı temsil etmektedir.
Lazarus, Grubun kötü niyetli faaliyetleri 2007’ye kadar uzanmasına rağmen, 2014 tarihli Sony Pictures’a yapılan yıkıcı saldırısının ardından uluslararası şöhret kazandı.
Başlangıçta devlet kurumlarını hassas zeka elde etmek için hedeflemeye odaklanan Lazarus, 2014’ten sonra kapsamını küresel finans kurumlarını, kripto para birimi borsalarını ve diğer yüksek değerli hedefleri içerecek şekilde genişletti.
Grup, belirli endüstrilerdeki bireylere karşı hedeflenen kimlik avı kampanyaları başlatmak için meşru iş fırsatları olarak gizlenmiş sahte sosyal medya hesaplarını sürekli olarak istihdam etmiştir.
ClickFix, kurbanlara uydurulmuş teknik sorunlar sunarak insan psikolojisini kullanan modern bir sosyal mühendislik saldırısı vektörünü temsil eder.
Saldırganlar var olmayan sistem hataları sergiler ve kurbanları bu sorunları “çözmek” için özel talimatları takip eder.
Mağdur, meşru bir düzeltme gibi görünen şeyleri bilmeden yürütür, ancak aslında kötü niyetli kodlar gizlenir.
Lazarus, ilk cazibe mekanizmaları olarak hileli iş ilanlarını kullanarak kimlik avı işlemlerine sorunsuz bir şekilde entegre. Saldırı dizisi dikkatli bir şekilde düzenlenmiş bir desen izler:
Saldırı Vektörü ve Yürütme
Mağdurlar, onları saldırgan kontrollü röportaj web sitelerine yönlendiren cazip sahte iş teklifleri alırlar.
Simüle edilen görüşme süreci sırasında, kötü amaçlı site stratejik olarak kullanıcılara kamera yapılandırmalarının yetersiz veya arızalı olmasını ister.
Site daha sonra meşru bir NVIDIA yazılım güncellemesi gibi görünen, ancak aslında sofistike kötü amaçlı yazılımlar için bir dağıtım mekanizması olarak hizmet veren bir “çözüm” sağlar.
Qi’anxin Tehdit İstihbarat Merkezi tarafından yapılan son analizler, hileli NVIDIA yazılım paketlerini indiren Lazarus ClickFix işlemlerine doğrudan bağlı bir toplu betiği ortaya çıkardı.
Bu kötü amaçlı yazılım paketi daha sonra, Lazarus organizasyonu tarafından yaygın olarak kullanılan bir imza aracı olan Beaverail kötü amaçlı yazılımını yürütmek için bir Node.js ortamı dağıtır.
Saldırı zinciri, kötü niyetli sıkıştırılmış bir paketten indiren ClickFix-1.bat ile başlar. hxxps://driverservices.store/visiodrive/nvidiaRelease.zip.
Paket, Run.vbs, Shell.bat, Main.js (Beaverail Stealer) ve drvupdate.exe (özellikle Windows 11 sistemlerini hedefleyen bir arka kapı) dahil olmak üzere birden fazla bileşen içerir.
Run.vbs komut dosyası, işletim sistemi oluşturma numarasının backdoed drvupdate.exe’yi yürütmeden önce 22000’e (Windows 11 tanımlayıcısı) ulaşıp ulaşmadığını kontrol ederek sistem keşif yapar.
Ayrıca, sonraki kötü amaçlı komut dosyaları için uygun yürütme yolunu belirlemek için Node.js yükleme durumunu doğrular.
Bu kampanya, hem Windows hem de MacOS sistemlerini etkileyen platformlar arası yetenekleri gösterir.
MacOS hedefleri için saldırganlar, ARM64-Fixer paketleri olarak gizlenmiş varyantları kullanır ve farklı işletim sistemi mimarilerine uyum sağlarken aynı aldatıcı yaklaşımı korur.
Gelişmiş kalıcı mekanizmalar
Beaverail kötü amaçlı yazılım, komuta ve kontrol sunucularına bağlanan birincil istihbarat toplama bileşeni olarak hizmet eder. hxxp://45.159.248.110.
Bu platformlar arası bu stealer daha sonra, kayıt defteri değişiklikleri ve planlanan görevler yoluyla kalıcı erişim sağlayarak InvisibleFerret Python Trojan’ı indirir ve dağıtır.
Windows 11 Systems için, DrVupdate.exe Backdoor, saldırganlara komut yürütme, dosya manipülasyonu ve sistem bilgileri toplama dahil kapsamlı sistem kontrol özellikleri sağlar.
Arka kapı bağlanır 103.231.75.101:8888 ve farklı kötü amaçlı işlemler için çeşitli öğretim kodlarını destekler.
Güvenlik araştırmacıları, bu örnekleri daha önce belgelenmiş kampanyalarla kod benzerliklerine ve Beaverail ve InvisibleFerret gibi imza kötü amaçlı yazılım ailelerinin konuşlandırılmasına dayanarak Lazarus’a bağlar.
C2 sunucusuna bir meydan okuma mesajı göndererek ve alınan verileri karşılaştırarak, sunucunun normal şekilde bağlanıp bağlanamayacağı belirlenir.
Grubun sahte sürücü güncellemelerini ve sosyal mühendislik tekniklerini tutarlı kullanımı bu ilişkilendirme değerlendirmesini güçlendirir.
Savunma Önerileri
Kuruluşlar ve bireyler, sosyal mühendislik taktikleri, e -posta güvenlik filtreleme ve uç nokta algılama sistemleri hakkında kullanıcı eğitimi de dahil olmak üzere kapsamlı güvenlik önlemleri uygulamalıdır.
Kullanıcılar, özellikle çevrimiçi görüşmeler veya işe alım süreçleri sırasında, tanıdık olmayan web sitelerinden yazılım indirme veya yürütme istendiğinde çok dikkatli olmalıdır.
Çok faktörlü kimlik doğrulama, düzenli güvenlik bilinci eğitimi ve olay yanıtı Planlama, Lazarus gibi sofistike APT gruplarına karşı etkili savunma stratejilerinin kritik bileşenleri olmaya devam etmektedir.
Güvenlik ekipleri, ClickFix teknikleriyle ilişkili uzlaşma göstergelerini izlemeli ve ortaya çıkan saldırı modellerini tanımlamak için güncellenmiş tehdit istihbarat yayınlarını korumalıdır.
Lazarus taktiklerinin evrimi, devlet destekli siber casusluk gruplarının yarattığı sürekli tehdidi göstermektedir ve hem kurumsal hem de bireysel ortamlarda sağlam siber güvenlik duruşlarını korumanın önemini vurgulamaktadır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.