Lazarus grubunun yakın zamanda İspanya’daki bir Havacılık ve Uzay şirketini hedef aldığı ve bu şirketin “LightlessCan” adlı belgelenmemiş bir arka kapı da dahil olmak üzere çeşitli araçlar kullandığı ortaya çıktı.
Raporlar, tehdit aktörünün geçen yıl Meta’daki bir işe alım uzmanının kimliğine bürünen bir hedef odaklı kimlik avı kampanyası kullanarak kuruluşun ağına erişim sağladığını gösteriyor.
Tehdit grubu, örgüt içindeki kurbanlardan biriyle LinkedIn sosyal ağı aracılığıyla, Meta’dan işe alım uzmanı gibi davranarak temasa geçti. Tehdit aktörü daha sonra iki kodlama sorgulaması ve kötü amaçlı yazılım olan bir iş tanımı PDF’si göndererek kötü amaçlı yükün yürütülmesine neden oldu.
Lazarus Kodlama Zorlukları
Kurbana Quiz1.exe ve Quiz2.exe adlı iki ISO görüntüsünün (Quiz1.iso ve Quiz2.iso) içine yerleştirilmiş iki kötü amaçlı yürütülebilir dosya sağlandı. Kurban, kodu C++ programlama dilinde yeniden yazmakla görevlendirildi.
Yürütülebilir iki program basit bir Merhaba Dünya programı ve bir Fibonacci programıydı. Ancak yürütülebilir dosyalar konsolda yazdırılanlardan çok daha fazlaydı.
Her iki yürütülebilir dosya da ISO görüntülerinin içine ek yüklerin yüklenmesini tetikler. Teslim edilen ilk veri, tehdit aktörünün sistem belleğindeki herhangi bir programı konuşlandırmasına olanak tanıyan “NickelLoader” olarak adlandırıldı. Bunu, tehdit aktörünün çeşitli amaçlarla kullandığı diğer ek veriler takip eder.
LightlessCan – Yeni Arka Kapı
Kullanılan en ilginç yüklerden biri, Lazarus RAT BlindingCan’ın halefi olduğu anlaşılan LightlessCan’dı. LightlessCab, 43’ü orijinal işlevlerinden yoksun olan 68 farklı komutu destekler.
LightlessCan’ın BlindingCan’dan türetildiği doğrulanabilir çünkü LightlessCan ve BlindingCan arasındaki paylaşılan komutların sıralamasında önemli bir değişiklik yoktur.
Bu yeni arka kapıdaki en önemli güncellemelerden biri ping, ipconfig, systeminfo, sc, net vb. gibi Windows Yerel komutlarının taklit edilmesidir.
ESET, bu güvenlik ihlali ve diğer ayrıntılı bilgiler hakkında eksiksiz bir rapor yayınladı; kaynak kodu, veri yükü, veri yükünün kötüye kullanım zinciri, güvenliği ihlal eden sistem ve diğer bilgiler hakkında ek bilgiler sağladı.
850’den fazla üçüncü taraf uygulamaya hızla yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.