3. Taraf Risk Yönetimi , Siber Savaş / Ulus-Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar
APT Group, Log4j Güvenlik Açığı, Kimlik Avı Saldırıları Yoluyla Kötü Amaçlı Yazılım Bulaşmasını Başlatıyor
Prajeet Nair (@prajeetspeaks) •
29 Haziran 2023
Araştırmacılar, EarlyRat adlı açıklanmayan bir kötü amaçlı yazılım ailesinin Kuzey Kore destekli Lazarus Group’un bir şubesi tarafından kullanıldığını keşfetti. Kötü amaçlı yazılım, Log4j ve kimlik avı saldırılarında konuşlandırılarak siber güvenlik ortamında ilk kez tespit edildi.
Ayrıca bakınız: Canlı Web Semineri | Bankacılıkta İçeriden Gelen Tehditleri Ele Alma Sınırlamalarını Aşmak: Gerçek Güvenlik Zorlukları için Gerçek Çözümler
Kaspersky araştırmacıları, grubun Mart ve Haziran 2022 arasındaki faaliyetlerini araştırırken daha önce hiç görülmemiş kötü amaçlı yazılım ailesine rastladıklarını söyledi.
Kaspersky, gelişmiş kalıcı tehdit grubu Andariel’in Lazarus Group bünyesinde on yılı aşkın bir süredir faaliyet gösterdiğini söyledi.
Araştırmacılar, yeni RAT’ı “basit” ancak etkili olarak nitelendirdiler. Temel yetenekleri, komut yürütme ve sistem verisi toplamayı içerir.
Kaspersky yeni bir raporda “Andariel, bir Log4j istismarı yürüterek makinelere bulaşıyor ve bu da komuta ve kontrol sunucusundan daha fazla kötü amaçlı yazılım indiriyor” dedi.
Bu keşif, Lazarus Group’un küresel kuruluşları hedeflemek için hızlı bir şekilde yeni kötü amaçlı yazılımlar oluşturmadaki çevikliğinin bir örneğidir.
Araştırmacılar, “Grup, çok çeşitli özel araçlar kullanıyor, sürekli olarak mevcut olanı güncelliyor ve yeni kötü amaçlı yazılımlar geliştiriyor” dedi.
En önemli bulgularından biri, komut yürütmenin bir insan operatör tarafından gerçekleştirildiğidir – çok sayıda hata ve yazım hatasının kanıtladığı gibi, muhtemelen çok az deneyime sahip biri. Ayrıca Log4j vakalarından birinde EarlyRat kötü amaçlı yazılımının bir sürümünü buldular.
Raporda, “EarlyRat, Log4j güvenlik açığı aracılığıyla indirildi, diğerlerinde ise kimlik avı belgelerinin sonunda EarlyRat’ı kullandığı keşfedildi” diyor.
Diğer birçok uzaktan erişim Truva Atı gibi, EarlyRat da etkinleştirme üzerine sistem bilgilerini toplar ve belirli bir şablon kullanarak C2 sunucusuna iletir. İletilen veriler, kimlik alanında belirtilen kriptografik anahtarlar kullanılarak şifrelenen benzersiz makine tanımlayıcıları ve sorguları içerir.
EarlyRat, işlevsellik açısından öncelikle komutları yürütmekle sınırlıdır. Daha önce Lazarus Group tarafından dağıtılan MagicRat kötü amaçlı yazılımıyla bazı üst düzey benzerlikler paylaşıyor.
Kötü amaçlı yazılım, Log4j istismarını yürütürken komut ve kontrol sunucusundan kaynakları indirir ve sonuç olarak DTrack arka kapısını indirir.
Kimlik avı saldırılarında, kötü amaçlı belgeler devre dışı bırakılmış makrolarla gelir. Etkinleştirildikten sonra, bir komut yürütülür ve VBA kodu, HolyGhost/Maui fidye yazılımı kampanyasıyla ilişkili bir sunucuya ping atar.
Kaspersky Global Araştırma ve Analiz Ekibinde güvenlik araştırmacısı olan Jornt van der Wiel, grupların diğerlerinden – hatta bağımsız kuruluşlar olarak kabul edilebilecek bağlı kuruluşlardan gelen kodları – benimsemesinin ve farklı kötü amaçlı yazılım türleri arasında geçiş yapmasının yaygın olduğunu söyledi.
“Siber suçun uçsuz bucaksız ortamında, akıcı kompozisyonlarla hareket eden çok sayıda oyuncu ve grupla karşılaşıyoruz” dedi. “Karmaşıklığa ek olarak, Lazarus’un Andariel’i gibi APT gruplarının alt grupları, fidye yazılımı dağıtmak gibi tipik siber suç faaliyetlerinde bulunuyor. Andariel’de yaptığımız gibi taktiklere, tekniklere ve prosedürlere odaklanarak, ilişkilendirme süresini önemli ölçüde azaltabilir ve saldırıları tespit edebiliriz. erken aşamalarında.”
Lazarus ile bağlantılı bu grupları durdurmak, Temmuz 2022’de BlueNoroff, Andariel, APT38, Guardians of Peace ve Lazarus Group hakkında devlet destekli grupların tespit edilmesini sağlayacak bilgiler için 10 milyon dolarlık bir ödül teklif eden ABD federal hükümeti için en önemli önceliktir. bilgisayar korsanları.