Lazarus Group Infostealer Malwares Yeni kampanyada geliştiricilere saldıran

   Şubat 16, 2025  Posted in CyberSecurityNews


Lazarus Group Infostealer Malwares Yeni kampanyada geliştiricilere saldıran

Kuzey Koreli İleri Dikkatli Tehdit (APT) grubu olan kötü şöhretli Lazarus Grubu, yazılım geliştiricilerini hedefleyen sofistike bir kampanya ile bağlantılı.

Bu kampanya, geliştiricilerin sistemlerinden hassas bilgileri çalmak için tasarlanmış Infostealer kötü amaçlı yazılımlarının kullanımını içerir.

Saldırı, geliştiricileri kötü amaçlı senaryolar yürütmeye kandırmak için sahte iş görüşmeleri ve tehlikeye atılmış NPM paketleri de dahil olmak üzere sosyal mühendislik taktiklerinden yararlanıyor.

Kötü amaçlı yazılım kampanyası, kötü niyetli kodu gizlemek için Base64 kodlama ve Zlib sıkıştırma gibi teknikleri kullanarak çok aşamalı modüler bir yaklaşım içerir.

Tehdit İstihbarat Araştırmacısı Rayssa Cardoso, saldırının temel bir bileşenini tespit etti.

_ = lambda __ : __import__('zlib').decompress(__import__('base64').b64decode(__[::-1]));exec((_)

Bu komut dosyası giriş dizesini tersine çevirir, Base64 kullanarak kod çözer, sonucu zlib ile çözer ve ardından yeniden yapılandırılmış Python kodunu yürütür exec() işlev.

Kampanya yapısı

Kötü amaçlı yazılım yapısı birkaç dosya ve klasör içerir:-

  • Script.py: Diğer komut dosyası işlevlerini çağırmak için talimatlar içeren ana dosya.
  • Sysinfo klasörü: Mağdurun işletim sistemini tespit etmek ve Port 1224 numaralı komut ve kontrol (C2) sunucusu ile iletişim kurmak için dosyalar içerir.
  • N2 klasörü: Kayıt defteri anahtarlarını okumak, toplanan bilgileri depolamak, gerekli kütüphaneleri yüklemek, sistem ve coğrafi konum verilerini toplamak için dosyaları içerir.

Lazarus Group, kullanıcıların görünüşte meşru düğmelere tıklayarak kötü amaçlı komut dosyaları yürütmeleri için kandırıldığı “ClickFix” yöntemi gibi sosyal mühendislik taktiklerini kullanır.

ClickFix Kampanyası (Kaynak – Orta)

Başka bir taktik, LinkedIn ve Github gibi platformlarda sahte işe alım profillerini içeriyor ve geliştiricileri çevrimiçi röportajlara katılmaya davet ediyor.

Gizli Kod (Kaynak – Orta)

Bu görüşmeler sırasında, adaylardan kötü amaçlı yazılımların kurulmasına yol açarak kötü amaçlı kod yürütmeleri istenir.

Bulaşıcı röportaj (kaynak – orta)

Kampanya, aşağıdakileri içeren çeşitli kötü amaçlı yazılım türlerini içerir:-

  • Beavertail (JavaScript): Yükleyici görevi görür.
  • InvisibleFerret (Python): Bir arka kapı ve infostealer olarak işlev görür.
  • Tsunami: Operation99 kampanyasında kullanılan bir arka kapı, sıçan ve infostealer.
Bulaşıcı Röportaj CmPaign Zinciri (Kaynak – Orta)

Sofistike sosyal mühendislik taktiklerinin ve gizlenmiş kötü amaçlı yazılımların kullanılması, sıkı uyanıklık ve sağlam siber güvenlik önlemlerine olan ihtiyacı göstermektedir.

Uzlaşma Göstergeleri (IOC)

  • 5.253.43[.]122: 1224
  • 41.208.185[.]235
  • 95.164.7[.]171: 8637
  • HTTP[:]// ip-api[.]com/json

\ & Ck ttps

  • T1027 – gizlenmiş dosyalar veya bilgiler
  • T1027.002 – Gizli Dosyalar veya Bilgiler: Yazılım Paketleme
  • T1204.002 – Kullanıcı yürütme: kötü amaçlı dosya
  • T1564.001 – Eserleri Gizle: Gizli Dosyalar ve Dizinler
  • T1082 – Sistem Bilgisi Keşfi

Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free



Source link