Lazarus Group, Güney Koreli Mali Kuruluşu Hacklemek İçin Sıfır Gün Güvenlik Açığı Kullanıyor


08 Mart 2023Ravie LakshmananSıfır Gün / BYOVD Saldırısı

Kuzey Koreli Hackerlar

Kuzey Kore bağlantılı Lazarus Grubu Açıklanmayan bir yazılımdaki kusurların, bir yıl içinde Güney Kore’deki bir finansal işletme varlığını iki kez ihlal etmek için silah haline getirildiği gözlemlendi.

Mayıs 2022’deki ilk saldırı, kamu kurumları ve üniversiteler tarafından yaygın olarak kullanılan bir sertifika yazılımının savunmasız bir sürümünün kullanılmasını gerektirirken, Ekim 2022’deki yeniden sızma, aynı programdaki bir sıfırıncı günün istismarını içeriyordu.

Siber güvenlik firması AhnLab Security Acil Durum Müdahale Merkezi (ASEC), “güvenlik açığının henüz tam olarak doğrulanmaması ve bir yazılım yamasının yayınlanmaması” nedeniyle yazılımdan bahsetmekten kaçındığını söyledi.

Düşman kolektif, bilinmeyen bir yöntemle ilk dayanak noktasını elde ettikten sonra, sıfır gün hatasını yanal hareket gerçekleştirmek için kötüye kullandı ve kısa bir süre sonra AhnLab V3 kötü amaçlı yazılımdan koruma motoru bir BYOVD saldırısıyla devre dışı bırakıldı.

Geçen yılın sonlarında hem ESET hem de AhnLab tarafından bir dizi raporda belgelendiği gibi, Kendi Savunmasız Sürücüsünü Getir, diğer adıyla BYOVD tekniğinin son aylarda Lazarus Group tarafından defalarca kullanıldığını belirtmekte fayda var.

Sıfırıncı Gün Güvenlik Açığı

Kötü amaçlı davranışını gizlemeye yönelik diğer adımlar arasında, dosya adlarını silmeden önce değiştirmek ve zaman damgası olarak adlandırılan adli bilişime karşı bir teknik kullanarak zaman damgalarını değiştirmek yer alır.

Saldırı, nihayetinde bir uzak komut ve kontrol (C2) sunucusuna bağlanmak ve ek ikili dosyaları alıp bunları dosyasız bir şekilde yürütmek için tasarlanmış birden çok arka kapı yükünün (Keys.dat ve Settings.vwx) yolunu açtı.

En Son Kötü Amaçlı Yazılım Kaçırma Taktiklerini ve Önleme Stratejilerini Keşfedin

Dosya tabanlı saldırılarla ilgili en tehlikeli 9 efsaneyi yıkmaya hazır mısınız? Yaklaşan web seminerimize katılın ve hasta sıfır enfeksiyonlarına ve sıfır gün güvenlik olaylarına karşı mücadelede bir kahraman olun!

KOLTUĞUNUZU AYIRTIN

Gelişme, ESET’in kötü şöhretli tehdit aktörü tarafından Wslink adlı bir kötü amaçlı yazılım yükleyici aracılığıyla dağıtılan WinorDLL64 adlı yeni bir implanta ışık tutmasından bir hafta sonra geldi.

“Lazarus grubu, diğer çeşitli yazılımların güvenlik açıklarını araştırıyor ve Kore kurumlarına ve şirketlerine sızmak için güvenlik ürünlerini devre dışı bırakma yöntemlerini değiştirerek ve tespit ve analize müdahale etmek veya geciktirmek için adli tıp teknikleri uygulayarak sürekli olarak TTP’lerini değiştiriyor.” ASEC dedi.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin twitter ve yayınladığımız daha özel içeriği okumak için LinkedIn.





Source link