Lazarus Grubu olarak bilinen Kuzey Kore tehdit oyuncusu, komuta ve kontrol (C2) altyapısını denetlemek için “web tabanlı bir idari platform” kullanıyor ve rakiplere kampanyalarının tüm yönlerini merkezi olarak denetleme yeteneği verdi.
SecurityScorecard’ın grev ekibi, Hacker News ile paylaşılan yeni bir raporda, “Her C2 sunucusu, React uygulaması ve Node.js API ile oluşturulan web tabanlı bir yönetim platformuna ev sahipliği yaptı.” Dedi. Diyerek şöyle devam etti: “Bu idari katman, saldırganlar algılamadan kaçınmak için yüklerini ve şaşkınlık tekniklerini değiştirmiş olsa bile, analiz edilen tüm C2 sunucuları arasında tutarlıydı.”
Gizli çerçeve kapsamlı bir sistem ve saldırganların pesfiltrasyonlu verileri organize etmesine ve yönetmesine, tehlikeye atılan ana bilgisayarlarının gözetimini sürdürmesine ve yük dağıtımını kullanmasına izin veren bir merkez olarak tanımlanmıştır.
Web tabanlı yönetici paneli, kripto para birimi sektörünü hedefleyen Phantom Circuit Operasyonu olarak adlandırılan bir tedarik zinciri saldırısı kampanyası ile bağlantılı olarak tanımlanmıştır.
Eylül 2024 ile Ocak 2025 arasında gerçekleşen kampanyanın, çoğu Brezilya, Fransa ve Hindistan’da tanımlanan 233 kurban iddia ettiği tahmin ediliyor. Sadece Ocak ayında, faaliyet Hindistan’da 110 eşsiz kurbanı hedefledi.
Lazarus Grubu, kazançlı iş fırsatları veya kript ile ilgili projelerde ortak bir işbirliği altında LinkedIn’i ilk enfeksiyon vektörü olarak kullanan bir sosyal mühendislik uzmanı haline geldi.
Operasyonun Pyongyang ile bağlantıları, daha önce hileli bilgi teknolojisi (BT) işçi planıyla bağlantılı olan astrill VPN kullanımından ve başlayan bağlantıları başlatan altı farklı Kuzey Kore IP adresinin keşfedilmesinden kaynaklanmaktadır. Astrill VPN çıkış düğümleri ve Oculus proxy uç noktaları.
SecureCard, “Sıkışmış trafik nihayetinde Stark Industries sunucularında barındırılan C2 altyapısına ulaştı. Bu sunucular taşıma sunumunu, mağdur yönetimini ve veri açığa çıktı.” Dedi.
Yönetici bileşeninin daha fazla analizi, tehdit aktörlerinin kurbanlardan kaynaklanan verileri görmelerini, ayrıca arama ve filtreyi görmesine izin verdiğini ortaya koymuştur.
Şirket, “Lazarus, gizlenmiş geri dönüşleri meşru yazılım paketlerine yerleştirerek, kullanıcıları tehlikeye atılmış uygulamaları yürütmeye, duyarlı verileri dışarı atmaya ve kurbanları komuta ve kontrol (C2) sunucuları aracılığıyla 1224 bağlantı noktası üzerinden yönetmelerini sağladı.” Dedi.
“Kampanyanın altyapısı, dünya çapında 233’ten fazla kurbanı etkileyen, çalıntı verilerin merkezi yönetimini etkileyen gizli reaksiyon tabanlı web-admin panelleri ve node.js API’lerini kullandı. Bu peçelesi, Pyongyang, Kuzey Kore’ye, astrill VPN’lerin katmanlı bir ağı aracılığıyla izlendi. ve ara vekiller. “