Kuzey Kore devlet destekli bilgisayar korsanları Lazarus Group, Avrupa ve ABD’deki internet omurgası altyapısını ve sağlık kurumlarını hedeflemek için ManageEngine ServiceDesk güvenlik açığından (CVE-2022-47966) yararlanıyor.
Grup, daha önce Lazarus hack grubuyla (diğer adıyla APT38) ilişkili bir IP adresinden indirilen QuietRAT’ı dağıtmak için bu güvenlik açığından yararlandı.
Çıkış yapmak
CVE-2022-47966, Ocak 2023’ün ortalarında yamalandı ve kısa bir süre sonra buna yönelik bir PoC istismarı kamuya açıklandı ve ciddi şekilde yararlanma girişimleri başladı.
Cisco Talos araştırmacılarının QuietRAT adını verdiği kötü amaçlı yazılım, Lazarus Group’un MagicRAT kötü amaçlı yazılımına benzeyen, yalnızca daha küçük boyutlu, basit bir uzaktan erişim truva atıdır (RAT).
Hem MagicRAT hem de QuietRAT, platformlar arası uygulamalar geliştirmek için Qt çerçevesini kullanır ve aynı yeteneklerin çoğuna sahiptir. Boyuttaki fark, MagicRAT’ın tüm Qt çerçevesini içermesine bağlanabilirken, QuietRAT sadece küçük bir statik olarak bağlantılı Qt kütüphaneleri seti (ve bazı kullanıcı tarafından yazılan kodlar) kullanır. Ayrıca, QuietRAT yerleşik kalıcılık yeteneklerinden yoksundur ve bunları sağlamak için C2 sunucusuna bağlıdır.
“Lazarus Group’un doğada gözlemlenen eski MagicRAT implantının en son sürümü Nisan 2022’de derlendi. Bu, MagicRAT’ın bildiğimiz son sürümü. Araştırmacılar, MagicRAT’ın türev implantı QuietRAT’ın Mayıs 2023’te kullanılmaya başlanması, oyuncunun taktik değiştirdiğini ve daha küçük, daha kompakt Qt tabanlı bir implantı tercih ettiğini gösteriyor” dedi.
“Lazarus Group’un MagicRAT kötü amaçlı yazılımında görüldüğü gibi, Qt kullanımı kod karmaşıklığını artırarak insan analizini zorlaştırıyor. Qt’yi kullanmak aynı zamanda makine öğrenimini ve buluşsal analiz tespitini daha az güvenilir hale getiriyor çünkü Qt, kötü amaçlı yazılım geliştirmede nadiren kullanılıyor.”
OldukçaRAT enfeksiyon zinciri. (Kaynak: Talos)
Çalıştırılıp etkinleştirildikten sonra, QuietRAT implantı ön sistem bilgilerini komuta ve kontrol (C2) sunucularına göndermeye başlar ve ondan komutlar bekler. Kötü amaçlı yazılım, ek kötü amaçlı yükleri indirip dağıtma yeteneğine sahiptir.
KoleksiyonRAT: Grubun cephaneliğindeki başka bir silah
Araştırmacıların bu son saldırıları Lazarus ile ilişkilendirmelerine izin vermenin yanı sıra, grubun altyapıyı yeniden kullanma eğilimi, kullandıkları diğer kötü amaçlı yazılımları (yani CollectionRAT) tanımlamalarına yardımcı oldu.
Yetenekleri arasında keyfi komut yürütme, virüslü uç noktanın dosyalarını yönetme, sistem bilgileri toplama, ters kabuk oluşturma, ek yüklerin indirilmesine ve dağıtılmasına izin veren yeni süreçlerin oluşturulması ve son olarak tehlikeye atılan uç noktadan kendi kendini silme yeteneği yer alır ( C2 tarafından yönlendirildiğinde).
Çeşitli kötü amaçlı yazılım yerleştirmeleri arasındaki operasyonel bağlantılar. (Kaynak: Talos)
“[CollectionRAT] Gerçek kötü amaçlı yazılım kodunun şifresini çözen ve anında yürüten paketlenmiş bir Microsoft Foundation Class (MFC) kitaplığı tabanlı Windows ikili programından oluşur. Geleneksel olarak Windows uygulamalarının kullanıcı arayüzlerini, kontrollerini ve olaylarını oluşturmak için kullanılan MFC, Windows işletim sisteminin iç uygulamalarını yazarlardan soyutlarken birden fazla kötü amaçlı yazılım bileşeninin birbiriyle sorunsuz bir şekilde çalışmasına olanak tanıyor” diye açıkladı araştırmacılar.
“Kötü amaçlı yazılımlarda bu kadar karmaşık bir çerçevenin kullanılması, insan analizini daha külfetli hale getiriyor. Ancak CollectionRAT’ta MFC çerçevesi, gerçek kötü amaçlı kod için sarmalayıcı/şifre çözücü olarak kullanıldı.”
Lazarus Group’un taktikleri ve hedefleri
Cisco Talos araştırmacılarına göre Lazarus Grubu, saldırı taktiklerini biraz değiştiriyor. Daha önce saldırıların uzlaşma sonrası aşamasında Mimikatz, PuTTY Link, Impacket ve DeimosC2 gibi açık kaynaklı araç ve çerçeveleri kullanırken, artık bunları başlangıç aşamasında da kullanıyor.
“Lazarus Group’un barındırma altyapısında bulunan birçok çift kullanımlı araç ve kullanım sonrası çerçevelerin yanı sıra, açık kaynaklı DeimosC2 çerçevesinden işaret olarak tanımladığımız yeni bir implantın varlığını keşfettik. Barındırma altyapılarında bulunan çoğu kötü amaçlı yazılımın aksine, DeimosC2 implantı bir Linux ELF ikili programıydı ve bu da grubun bunu Linux tabanlı sunuculara ilk erişim sırasında dağıtma niyetini gösteriyor” diye eklediler.
Lazarus Grubu, Kuzey Kore’nin siyasi hedeflerini ilerletmeyi ve ülkenin çeşitli çabalarını finanse etmek için gerekli olan kripto para birimini çalmayı amaçlayan mali amaçlı ve siber casusluk amaçlı siber saldırılar düzenlemesiyle tanınıyor.
Salı günü FBI, kripto para şirketlerini, Lazarus Group’a bağlı aktörlerin uluslararası kripto para birimi soygunlarında çalınan 40 milyon dolar değerindeki bitcoin’i nakde çevirmek istedikleri ve sağlanan bitcoin adresleriyle veya bu adreslerden türetilen işlemlere izin vermemeleri gerektiği konusunda uyardı. ticaret platformları aracılığıyla.