Lazarus Grubu olarak bilinen Kuzey Kore bağlantılı tehdit oyuncusu, Pondrat, Themorestrat ve Remotepe adı verilen üç farklı platformlar arası kötü amaçlı yazılım parçalarını dağıtan bir sosyal mühendislik kampanyasına atfedildi.
NCC Group’un FOX-IT tarafından 2024’te gözlemlenen saldırı, merkezi olmayan finans (DEFI) sektöründe bir kuruluşu hedefledi ve sonuçta bir çalışanın sisteminin uzlaşmasına yol açtı.
Yun Zheng Hu ve Mick Koomen, “Oradan aktör, örneğin kimlik bilgilerini veya proxy bağlantılarını hasat etmek için diğer araçlarla birlikte farklı sıçanlar kullanarak ağın içinden keşif yaptı.” Dedi. “Daha sonra, aktör daha gizli bir fareye taşındı ve muhtemelen saldırıda bir sonraki aşamayı gösterdi.”
Saldırı zinciri, tehdit oyuncusunun Telegram’da bir ticaret şirketinin mevcut bir çalışanını taklit etmesiyle başlar ve kurbanla bir toplantı planlamak için takvil olarak maskelenen sahte web sitelerini kullanır.
Tam başlangıç erişim vektörü şu anda bilinmese de, parpload adı verilen bir yükleyici dağıtmak için dayanaktan kaldırılır, bu da daha sonra sıyırılmış bir poolrat varyantı (aka Simplea) olarak değerlendirilen bilinen bir kötü amaçlı yazılım olan Pondrat’ı düşürür. Siber güvenlik şirketi, saldırıda krom tarayıcısında o zamanki kurdu gün istismarının kullanıldığını gösteren bazı kanıtlar olduğunu söyledi.
Ayrıca Pondrat ile birlikte bir ekran görüntüsü, Keylogger, Chrome kimlik bilgisi ve çerez stealer, Mimikatz, FRPC ve Midproxy ve Proxy Mini gibi proxy programları dahil olmak üzere bir dizi başka araç sunulur.
“Pondrat, bir operatörün dosya okumasına ve yazmasına, kabuk kodunu çalıştırmasına ve kabuk kodunu çalıştırmasına izin veren basit bir sıçandır.” Dedi.
Pondrat kötü amaçlı yazılım, HTTP (ler) üzerinden daha fazla talimat almak için sabit kodlu bir komut ve kontrol (C2) sunucusu ile iletişim kurmak için tasarlanmıştır, bu da Themeforestrat, pondrat veya özel bir yükleyici aracılığıyla doğrudan bellekte başlatılır.
ThemeForestRAT, like PondRAT, monitors for new Remote Desktop (RDP) sessions and contacts a C2 server over HTTP(S) to retrieve as many as twenty commands to enumerate files/directories, perform file operations, execute commands, test TCP connection, timestomp file based on another file on disk, get process listing, download a files, inject shellcode, spawn processes, and hibernate for a specific zaman miktarı.
Fox-It Themeforestrat, Kasım 2014’te Lazarus Grubu tarafından Sony Pictures Entertainment’a (SPE) karşı kullanıma sunulan bir kötü amaçlı Romeogolf koduyla benzerlikleri paylaştığını söyledi. Novetta tarafından Operasyon Blockbuster olarak bilinen işbirlikçi bir çabanın bir parçası olarak belgelenmiştir.
RemotePe ise, bir C2 sunucusundan, Dpapiloader tarafından yüklenen remotePeloader tarafından alınır. C ++ ile yazılan RemotePe, muhtemelen yüksek değerli hedefler için ayrılmış daha gelişmiş bir sıçandır.
“Pondrat çok az esneklik sağlayan ilkel bir sıçandır, ancak ilk yük olarak amacına ulaşır.” Dedi. “Daha karmaşık görevler için aktör, daha fazla işlevselliğe sahip ve sadece belleğe yüklendiği için radar altında kalan Themeforestrat’ı kullanıyor.”