Lazarus olarak bilinen kötü şöhretli Kuzey Koreli bilgisayar korsanlığı grubu, bu kez DLang’da yazılmış daha önce görülmemiş üç kötü amaçlı yazılım ailesini dağıtmak için CVE-2021-44228’i (Log4Shell) kullanmaya devam ediyor.
Yeni kötü amaçlı yazılım, NineRAT ve DLRAT adlı iki uzaktan erişim truva atı (RAT) ve BottomLoader adlı bir kötü amaçlı yazılım indiricisinden oluşuyor.
D programlama dili siber suç operasyonlarında nadiren görülüyor, bu nedenle Lazarus muhtemelen yeni kötü amaçlı yazılım geliştirmede tespit edilmekten kaçınmak için onu seçmiştir.
Cisco Talos araştırmacılarının “Demirci Operasyonu” kod adını verdiği kampanya, Mart 2023 civarında başladı ve dünya çapındaki imalat, tarım ve fiziksel güvenlik şirketlerini hedef alıyor.
Demirci Operasyonu, Lazarus’un kullandığı taktik ve araçlarda kayda değer bir değişikliği temsil ediyor ve tehdit grubunun sürekli değişen taktiklerinin bir başka göstergesi olarak hizmet ediyor.
Yeni kötü amaçlı yazılım araçları
İlk kötü amaçlı yazılım, dokuzRAT, Lazarus’un iki yeni RAT’ından ilkidir. Komutları almak ve ihlal edilen bilgisayardan dosyaları dışarı çıkarmak da dahil olmak üzere komuta ve kontrol (C2) iletişimi için Telegram API’sini kullanıyor.
NineRAT, aynı zamanda kalıcılığın sağlanmasından ve ana ikili dosyaların başlatılmasından da sorumlu olan bir damlalık içerir.
Kötü amaçlı yazılım, Telegram aracılığıyla kabul edilen aşağıdaki komutları destekler:
- bilgi – Etkilenen sistem hakkında ön bilgi toplayın.
- setmtoken – Bir belirteç değeri ayarlayın.
- setbtoken – Yeni bir Bot belirteci ayarlayın.
- ayar aralığı – Kötü amaçlı yazılım anketleri arasındaki zaman aralığını Telegram kanalına ayarlayın.
- uykuya dalmak – Kötü amaçlı yazılımın uykuda kalacağı/uykuda kalacağı bir zaman aralığı belirleyin.
- güncelleme – İmplantın yeni bir versiyonuna yükseltin.
- çıkış – Kötü amaçlı yazılımın yürütülmesinden çıkın.
- kaldır – Kendini uç noktadan kaldırın.
- dosya Gönder – Etkilenen uç noktadan C2 sunucusuna bir dosya gönderin.
İkinci kötü amaçlı yazılım, DLRATLazarus’un virüs bulaşmış bir sisteme ek yükler eklemek için kullanabileceği bir truva atı ve indiricidir.
DLRAT’ın bir cihazdaki ilk etkinliği, işletim sistemi ayrıntıları, ağ MAC adresi vb. gibi ön sistem bilgilerini toplamak için sabit kodlu komutları yürütmek ve bunları C2 sunucusuna göndermektir.
Saldırganın sunucusu, kurbanın harici IP adresiyle ve kötü amaçlı yazılımın yerel olarak yürütülmesi için aşağıdaki komutlardan biriyle yanıt verir:
- beni Sil – Bir BAT dosyası kullanarak kötü amaçlı yazılımı sistemden silin
- indirmek – Dosyaları belirtilen uzak konumdan indirin
- yeniden isimlendirmek – Etkilenen sistemdeki dosyaları yeniden adlandırın
- uyuyorum – Kötü amaçlı yazılıma belirli bir süre boyunca hareketsiz duruma geçmesi talimatını verin
- yüklemek – Dosyaları C2 sunucusuna yükleyin
- gösteriler – Henüz uygulanmadı
Sonunda Cisco analistleri şunu keşfetti: Alt YükleyiciPowerShell kullanarak sabit kodlanmış bir URL’den yükleri alıp çalıştıran ve aynı zamanda Başlangıç dizinini değiştirerek bunlardan kalıcılık sağlayan bir kötü amaçlı yazılım indiricisidir.
Buna ek olarak BottomLoader, Lazarus’a dosyaları virüslü sistemden C2 sunucusuna çıkarma kapasitesi sunarak operasyonel çok yönlülük sağlar.
Log4Shell saldırıları
Cisco Talos tarafından gözlemlenen saldırılar, Log4j’deki kritik bir uzaktan kod yürütme kusuru olan ve yaklaşık iki yıl önce keşfedilip düzeltilen ancak hala bir güvenlik sorunu olmaya devam eden Log4Shell’den yararlanmayı içeriyor.
Hedefler, Log4j günlük kitaplığının savunmasız bir sürümünü kullanan ve saldırganların uzaktan kod yürütmesine olanak tanıyan, herkese açık VMWare Horizon sunucularıyla karşı karşıyadır.
İhlalin ardından Lazarus, ihlal edilen sunucuya kalıcı erişim için bir proxy aracı kurar, keşif komutlarını çalıştırır, yeni yönetici hesapları oluşturur ve ProcDump ve MimiKatz gibi kimlik bilgileri çalma araçlarını devreye alır.
Saldırının ikinci aşamasında Lazarus, önceki bölümde vurgulandığı gibi çok çeşitli komutları destekleyen NineRAT’ı sisteme yerleştirir.
Cisco, Lazarus’un kendi şemsiyesi altındaki diğer APT (gelişmiş kalıcı tehdit) gruplarını veya kümelerini NineRAT tarafından toplanan verilerle beslemesinin mümkün olduğu sonucuna varıyor.
Bu varsayım, NineRAT’ın bazı durumlarda sistem “yeniden parmak izi oluşturma” işlemi gerçekleştirmesi gerçeğine dayanmaktadır; bu da birden fazla aktör için sistem tanımlama ve veri toplama işlemi gerçekleştiriyor olabileceği anlamına gelmektedir.