Lazarus Grubu, Kuzey Kore devleti destekli, kötü şöhretli bir bilgisayar korsanlığı organizasyonudur: –
- Siber casusluk
- Mali Hırsızlık
- Yıkıcı saldırılar
2014 Sony Pictures saldırısı ve 2017 WannaCry fidye yazılımı salgını da dahil olmak üzere yüksek profilli olaylara karıştılar.
Cisco Talos’taki siber güvenlik araştırmacıları yakın zamanda Lazarus Group’un “Demirci Operasyonu”nun dünya çapındaki kuruluşlara saldırmak için yeni DLang tabanlı kötü amaçlı yazılım kullandığını buldu.
Demirci operasyonu Log4Shell’den (CVE-2021-44228) yararlanıyor ve C2 iletişimi için Telegram aracılığıyla yeni bir DLang RAT dağıtıyor.
Aşağıdakiler de dahil olmak üzere üç aile keşfedildi: –
- Telegram tabanlı RAT “NineRAT”
- Telegram Dışı RAT “DLRAT”
- İndirici “BottomLoader”
Teknik Analiz
NineRAT, komutlar ve dosya aktarımları da dahil olmak üzere Telegram for C2 aracılığıyla çalışır. Lazarus gizlilik için Telegram’ı kullanıyor.
İki gömülü bileşene sahip bir damlalıktan oluşur: –
- Bir araç (nsIookup.exe)
- Kalıcılık için ikinci bir bileşen (İlk bileşen tarafından yürütülür.)
Virüs bulaşmış ana bilgisayarlardaki ana etkileşim yöntemi olan NineRAT, aynılık sağlamak için HazyLoad gibi önceki araçlarla bir arada bulunur. Lazarus, örtüşen arka kapı girişleriyle kalıcı erişim sağlar.
Telegram C2 kanalları halka açık bir botun keşfedilmesine yol açtı, “[at]StudyJ001Bot” daha sonra yerini Lazarus’a ait botlara bıraktı. Raporda, geçişe rağmen eski NineRAT örneklerinin hâlâ açık kanalları kullandığı belirtiliyor.
2022’den beri aktif olan Anadriel, biri halka açık olarak listelenen ve DLang tabanlı kütüphaneler aracılığıyla Telegram ile etkileşime giren iki API tokenı kullanıyor.
Bunun yanı sıra NineRAT, kimlik doğrulamayı test eder ve Telegram yöntemleri aracılığıyla dosya yükleme/indirme işlemlerini gerçekleştirir. Sadece bu değil, BAT dosyası kullanan sistemden bile NineRAT kendi kendini kaldırabilir.
NineRAT, Lazarus DLang tabanlı iki kötü amaçlı yazılım ailesinin daha keşfedilmesine yol açtı. Bir indirici olan BottomLoader, yükleri bir PowerShell komutu aracılığıyla indirir ve kalıcılık oluşturur.
Bir indirici olan DLRAT ve komutları yürüten, sistem keşfi gerçekleştiren ve sabit kodlanmış bir oturum kimliği kullanarak C2 ile iletişim kuran RAT.
Saldırı, ilk erişim için halka açık VMWare Horizon sunucularında CVE-2021-44228’den (Log4Shell) yararlanıyor ve keşif sonrasında özel bir implant yerleştiriyor.
IOC’ler
Hash’ler
Bulanık Yük
- 000752074544950ae9020a35ccd77de277f1cd5026b4b9559279dc3b86965eee
DokuzRAT
- 534f5612954db99c86baa67ef51a3ad88bc21735bce7bb591afa8a4317c35433
- ba8cd92cc059232203bcadee260ddbae273fc4c89b18424974955607476982c4
- 47e017b40d418374c0889e4d22aa48633b1d41b16b61b1f2897a39112a435d30
- f91188d23b14526676706a5c9ead05c1a91ea0b9d6ac902623bc565e1c200a59
- 5b02fc3cfb5d74c09cab724b5b54c53a7c07e5766bffe5b1adf782c9e86a8541
- 82d4a0fef550af4f01a07041c16d851f262d859a3352475c62630e2c16a21def
Alt Yükleyici
- 0e416e3cc1673d8fc3e7b2469e491c005152b9328515ea9bbd7cf96f1d23a99f
DLRAT
- e615ea30dd37644526060689544c1a1d263b6bb77fe3084aa7883669c1fde12f
- 9a48357c06758217b3a99cdf4ab83263c04bdea98c347dd14b254cab6c81b13a
Ağ IOC’leri
- teknoloji[.]Microsoft’lar[.]iletişim
- teknoloji[.]Microsoft’lar[.]teknoloji
- 27[.]102[.]113[.]93
- 185[.]29[.]8[.]53
- 155[.]94[.]208[.]209
- 162[.]19[.]71[.]175
- 201[.]77[.]179[.]66
- hxxp://27[.]102[.]113[.]93/inet[.]txt
- hxxp[://]162[.]19[.]71[.]175:7443/sonik/alt[.]gif
- hxxp[://]201[.]77[.]179[.]66:8082/img/index[.]php
- hxxp[://]201[.]77[.]179[.]66:8082/img/images/header/B691646991EBAEEC[.]gif
- hxxp[://]201[.]77[.]179[.]66:8082/img/images/header/7AEBC320998FD5E5[.]gif