Lazarus Group, yeni Ottercookie yük dağıtım tekniği ile kötü amaçlı yazılımları geliştirir

   Temmuz 30, 2025  Posted in GBHackers


Lazarus Grubu tarafından yürütülen bulaşıcı görüşme kampanyası yeteneklerini genişletmeye devam ediyor. Kampanyanın ana yükleri için teslimat mekanizmalarında üstel bir evrim gözlemledik: Beaverail, InvisibleFerret ve Ottercookie.

Bu makalede, grup tarafından kullanılan dağıtım teknikleriyle ilgili yenilikleri tartışacağız ve grubun modus operandi’nin kodlarının evrimi boyunca korunduğunu göstereceğiz. Bu amaçla, kampanyalarda oldukça aktif olan 3 farklı kötü amaçlı projeyi analiz ettik.

Teslimat mekanizması 1: Değerlendirme işlevi

Şekil 1 – Teslimat alanına ilk isteği isteği

Projelerden birinde, grubun geliştiricileri, Fashdefi adlı harici bir adrese bir yayın isteği gerçekleştiren bir kod snippet’i oluşturdu ve uyguladı.[.]6168 bağlantı noktasını kullanarak saklayın.

İstekten sonra, akış kodu isteğin yanıtını yakalar, belirteç nesnesinde saklar ve Değer () işlevini kullanarak içeriği yürütür.

Şekil 2 – Curl komut satırı aracı ile post isteğinin yürütülmesi

Bu şekilde, yakalama bloğu içinde yer alan kod snippet’i, ana yükün (bu durumda, ‘görünmez gelincik’), bu makalenin analiz süresinden önceki projelerde gözlemlendiği gibi projenin ana koduna doğrudan yazılması gerekmesini önler, böylece daha önce oluşturulan tespit mekanizmalarını, ana kodun doğrudan taramasına dayanan daha önce oluşturulan algılama mekanizmalarını önler.

Teslimat Mekanizması 2: Yanlış jeton

Şekil 3 – Projeye ayrı ayrı bildirilen URL parçaları

Farklı bir projede grup, kötü amaçlı kodları taramak ve tespit etmek için kullanılan otomatik araçlarla kod analizini karmaşıklaştırmak için yeni stratejiler uyguladı.

Bu kod snippet’inde, geliştiriciler tüm URL’yi kodun içindeki birkaç parçaya ayırmaya özen gösterdi. Saldırganlar, projenin favicon’unu sunmak için Vercel.app platformunun meşru barındırma hizmetini bir komut ve kontrol (C2) sunucusu olarak kullandı.

Şekil 3.1 – URL’yi ve tüm isteği ve başlıkları çağırmak için sabit “seçenekleri” birleştirmek için sabit “url”

Yukarıdaki bu iki sabit, “Yapma” adlı başka bir sabitte depolanan “Req” işlevinde isteğin çağrılması için akış koduna daha fazla katman eklemek için geliştirilmiştir, desen eşleşmesine dayanan statik analiz araçlarından ve çalışma zamanında kodu analiz etmeyen bazı kum havuzu ortamlarından kaçınmak için daha fazla şansa sahiptir.

Şekil 3.2 – İşlev isteğini saklayan sürekli “yapıyor”

Kodun inşaat akışını takiben, “Yapma” sabiti, çağrıldığında, tüm istek işlemini yürütür. Sonunda, deneme/yakalama bloğu içinde, aşağıdaki kötü amaçlı kodu almak için değer () işlevini kullanır:

Şekil 4 – Kodlanmış yükü almak için “logo” jeton ekleme isteği sonrası

Bir sanal alan platformu kullanarak, “Bearrtoken: Logo” talepten çıkarıldığında teslim edilen içeriği doğruladık ve bir favicon’un gerçekten kötü amaçlı proje için sunulduğunu doğruladı.

Şekil 5 – Uygun jeton teslimatı olmadan C2’ye erişim, kötü amaçlı projenin favicon’u

Bu bilgilere dayanarak, Favicon’u kullanarak döndük ve görüntünün Kuzey Kore grubuna ve bulaşıcı görüşme kampanyasına atfedilen önceki birkaç projede yeniden kullanımını belirledik.

Şekil 6 – Aynı favicon’u kullanan diğer projeleri avlamak

Teslimat Mekanizması 3: Deneyin/Yakalama

Gözlemlediğimiz üçüncü teknik, önceki projelerde bulunan unsurlara dayanan sürekli bir inovasyon süreci göstermektedir. Bu yaklaşımda, grup, bu makalenin zamanına kadar düşük algılama oranlarına sahip çok daha hassas bir tasarım kullandı, sonraki URL konsantrasyonuna (dağıtım mekanizması 2) izin vermek için yük dağıtımının iletişim adresini bölme taktiklerini korudu ve AXIOS kütüphanesini kullanma (dağıtım mekanizması 1), GET yöntemine değiştirildi.

Şekil 7-Desen eşleştirme araçlarını atlamak için 3 ve 4 görüntülerinde gösterilen aynı taktiği kullanma

Diğer projelerde gördüğümüz gibi, kodun bir yerinde bir değerlendirme () işlevinin kullanılmasını ana saldırı yükünü almak ve yürütmek için bekleyebiliriz, ancak bu projede meraklı bir yaklaşım uyguladılar.

Şekil 7.1 – Görüntü 5’te gösterilen aynı taktiği kullanma, sabit oluşturma ve kötü niyetli bir işlevi saklama

Geliştiriciler, API iletişiminden 500 hatası döndürecek şekilde programlanmış bir kod bloğu ile bir değer () işlevi kullanma ihtiyacını büyük bir şekilde değiştirdi. Daha sonra, yukarıda gösterilen errorHandler () işlevini kullanarak Try/Catch bloğunda kötü amaçlı kodu alır.

Ne olmuş?

Uygulanan tüm yenilikler, grubun iyileştirmeler için odak noktasını vurgulamaktadır; Yükü teslim etmek için kod snippet’lerinin oluşturulmasındaki mantık aynı kaldı.

Bununla birlikte, kısa bir süre boyunca yeniliklerdeki artış, kodda bulunan bazı sözdizimi hataları ve bu hatalar için inceleme eksikliği, kod oluşturmayı otomatikleştirmek için yapay zeka (AI) teknolojilerinin sürekli kullanımını göstermektedir. Bu, sadece doğrudan kod algılama ve örüntü eşleştirmeye dayanan savunma mekanizmaları için önemli endişeler doğurur.

Bu nedenle, önümüzdeki aylarda proje kodlarında kalan izleri daha da azaltmak için yeni yaklaşımların geliştirildiğini göreceğimize dair yüksek güvenle belirtebiliriz. Kampanyanın teslimat aşamasında sürekli iyileştirmeye güçlü bir odaklanma olacak ve daha önce geliştirilen tespit kurallarında daha fazla sağlamlık talep edecek.

Uzlaşma Göstergeleri (IOCS):

URL’ler:

https[:]//cdn-static-server[.]vercel[.]app/icons/212 http[:]//fashdefi[.]store[:]6168/defy/v7 http[:]//bujey[.]store[:]6168/defy/v7’) https[:]//bitbucket[.]org/0xhpenvynb/mvp_gamba/src/master/
http[:]//chainlink-api-v3[.]cloud/api/service/token/56e15ef3b5e5f169fc063f8d3e88288e

Proje Adı:

CoinLocator-main
coin-promoting-app-main
0xhpenvynb-mvp_gamba-6b10f2e9dd85

IP:

144.172.96[.]35
107.189.24[.]80
135.181.123[.]177

Favicon karma:

41ee7ddb2be173686dc3a73a49b4e93bc883ef363acca770f7ede891451122ab

Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.



Source link