Qi’anxin’in APT-Q-1 olarak dahili olarak izlediği kötü şöhretli Lazarus Gelişmiş Kalıcı Tehdit (APT) organizasyonu, sosyal mühendislik saldırılarının sofistike bir ilerlemesinde Windows 11 ve macOS sistemlerine nüfuz etmek için ClickFix tekniğini kullanılarak görüldü.
2014 Sony Pictures Hack gibi yüksek profilli olaylarla tanınan Lazarus, 2014’ten bu yana istihbarat hırsızlığından finansal varlık çıkarmaya geçti ve kripto para birimi borsaları ve finans kurumları gibi kuruluşları hedef aldı.
Bu son kampanya, kurbanları kimlik avı tuzaklarına çekmek için sahte sosyal medya hesapları aracılığıyla yayılan sahte iş sunuyor ve sonuçta Beaverail ve InvisibleFerret gibi kötü amaçlı yazılımları implante ediyor.
Qi’anxin Tehdit İstihbarat Merkezi’nden yapılan son analizler, bir NVIDIA yazılım güncellemesi olarak maskelenen ve bu yüklerin platformlar arasında dağıtımını kolaylaştıran bir toplu betiği ortaya koyuyor.
Kötü amaçlı yazılım dağıtım
Saldırı, kurbanlarla, fabrikasyonlu bir kamera yapılandırma hatasını çözmelerini isteyen aldatıcı bir iş görüşmesi web sitesi ile karşılaşır.
Bu, ClickFix-1.bat’ın (MD5: F9E18687A38E968811B93351E9FCA089) yürütülmesine yol açar. hxxps: //diverservices.store/visiodrive/nvidiarelease.zip.
Dekompresyon üzerine arşiv, Windows 11’i (BuildNumber ≥ 22000) doğrulamak için sistemin yapı numarasını değerlendiren Run.vbs (MD5: 3EF7717C8BCB26396FC50ED92E812D13) yürütür.
Eşleşirse, bir Node.js ortamını eşzamanlı olarak kontrol ederken, backdoed drvupdate.exe’yi (MD5: 6175EFD148A89CA61B6835C77ACT7A8D) başlatır.
NOD.JS Tetikler Shell.bat (MD5: 983A8A6F4D0A8C887536F5787A6B01A2) indirmek ve yüklemek için, ardından Main.js (MD5: B52E105BD040BDA6639E9583090 KİTE KISAK) çalıştırmak için NPM Komutları Stealer.
Lazarus tarafından tercih edilen platformlar arası bir infostealer olan Beaverail, hxxp: //45.159.248.110 gibi komut ve kontrol (C2) sunucuları ile iletişim kurar ve Python tabanlı Invisterferret Trucojan dahil olmak üzere ek yükler getirmeye devam eder: //45.1110, HXXP: //45.1110 gibi yollardan da dahil olmak üzere, (MD5: 17EB90AC00007154A6418A91BF8DA9C7). Kalıcılık, uzun vadeli erişim sağlamak için %userprofile %.pyppythonw.exe’ye yerleştirilen komutları kayıt defteri modifikasyonları yoluyla elde edilir.
MacOS varyantları için, ARM64-FIXER (MD5: CDF296D7404BD6193514284F021BFA54) gibi komut dosyaları, kol mimarisi düzeltmeleri, drivFixer.sh ve Laungeagents plist dosyaları yoluyla benzer beavertail örneklerini dağıtır.
103.231.75.101:8888’e bağlanan drvupdate.exe arka kapı, cmd.exe (talimat 0x6), dosya okuma/yazma işlemleri (0x8 ve 0x18) ve cihaz bilgileri exfiltration (0x4) aracılığıyla komut yürütme dahil olmak üzere birden fazla işlevi destekler (0x4), kullanıcı adları, hostnames, os vergiler ve MAC detayları gibi.
C2 bağlantısını, meydan okuma-yanıt mekanizmaları yoluyla doğrular, saldırganların uyku komutları (0x9) yayınlamasını veya açma, yazma ve kapanış işlemleri için alt komutlarla dosyaları manipüle etmesini sağlar.
İzlenebilirlik, önceki raporlarla senaryo benzerlikleri ve Beaverail ve InvisibleFerret’in tutarlı kullanımı nedeniyle bu eserleri Lazarus’a bağlar ve kampanyanın erişimini hem Windows hem de MacOS ekosistemlerine genişletir.
Daha geniş sonuçlar
Bu ClickFix kampanyası, Lazarus’un psikolojik güvenlik açıklarından yararlanmasının altını çizerek, kurbanları rutin düzeltmeler altında kendi kendini yürütmeye teşvik ederek teknik savunmaları atlıyor.
Kuruluşlar, işle ilgili iletişimin sıkı bir şekilde doğrulanmasını zorunlu kılmalı ve güvenilmeyen kaynaklardan istenmeyen senaryolar veya güncellemeler yapmaktan kaçınmalıdır.
Qi’anxin’in Tehdit İstihbarat Platformu (TIP) ve Tianyan Advanced Tehdit Tespit Sistemi dahil paketi, bu tür tehditlere karşı sağlam bir tespit sağlar.
Kritik verilerin yedeklenmesi, zamanında yamalar uygulanması ve bilinmeyen yürütülebilir ürünler için dosya analiz platformlarının kullanılması temel savunmalardır.
Lazarus gibi APT grupları sosyal mühendisliği platformlar arası taktiklerle geliştirirken, aldatıcı çevrimiçi etkileşimlere karşı uyanıklık, istihbarat ve finansal hırsızlık operasyonları için çok önemlidir.
Uzlaşma Göstergeleri (IOC)
| Kategori | IOC Ayrıntıları |
|---|---|
| MD5 (Windows) | F9E18687A38E96811B9331E9FCA089, A4E5B91531D19F268C5E02C7BFF456, 3EF7717C8BCB26396FC50ED92E812D13, 983A8A6F4D0A8C887536F578A6B01A2, 6175EFD148A89CA61B683C77ACT7A8D, 8C274285C5F8914CDBBB090D72D1720D3, B73FD8F21A2ED093F8CAF0CF4B41AAA4D |
| MD5 (macOS) | CDF296D7404BD6193514284F021BFA54, CBD183F5E5ED7D295D83E29B62B15431, A009CD3555092919EF60E71BCE86830. 13400D5C844B7AB9AACC81822B1E7F02 |
| MD5 (Beaverail) | B52e105bd040bda6639e9e95f7d9e3090, 15e48aef2e26f2367e5002e6c3148e1f |
| C & C | Driverservices.store, Block-digital.online, hxxp: //45.159.248.110, hxxp: //45.89.53.54, 103.231.75.101:8888 |
| Url | hxxps: //diverservices.store/visiodrive/nvidiarelease.zip, hxxps: //diverservices.store/visioDrive/nvidiareleasenew.zip, hxxps: //derservices.store/visioDrive/arm64-fixer, hxxps: //diverservices.store/visioDrive/arm64-fixernew, hxxps: //block-digital.online/divers/cam_driver |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!