Kuzey Koreli tehdit aktör grubu Larazrus Group, Şubat ve Temmuz 2022 arasında dünyanın dört bir yanındaki enerji sağlayıcılarına yönelik kötü niyetli bir kampanyayı hedef aldı.
Nisan ve Mayıs aylarında, kampanya sırasıyla Symantec ve AhnLab tarafından kısmen açıklandı. Cisco Talos şimdi daha fazla ayrıntı sağlıyor.
Perşembe günü yazılan bir danışma belgesinde Cisco Talos, Lazarus kampanyasının, hedeflenen kuruluşa ilk erişim sağlamak için VMWare Horizon’daki güvenlik açıklarından yararlanılmasını içerdiğini söyledi.
Danışma belgesinde şunlar belirtildi: “İlk vektör, açıkta kalan VMware Horizon sunucularında Log4j güvenlik açığından yararlanılmasıydı. Başarılı bir sömürü sonrası, araç setlerinin web sunucularından indirilmesine yol açtı.”
“Çoğu durumda, saldırganlar ilk erişime sahip oldukları uç noktalarda kendi kullanıcı hesaplarını oluşturmak için ters kabuğu kullandılar.”
Güvenlik araştırmacıları, yakın zamanda açıklanan ve ‘MagicRAT’ adını verdikleri implantın dağıtımının yanı sıra, bilinmeyen iki kötü amaçlı yazılım ailesinin, YamaBot ve VSingle’ın kullanımını keşfettiklerini söylediler.
“Arka kapılar ve implantlar kalıcı hale getirildiğinde ve uç noktada etkinleştirildiğinde, temizleme işlemini gerçekleştirmek için ters kabuk kullanıldı.[…]bu, PowerShell görevlerinin sonlandırılmasıyla birlikte bulaşma klasöründeki tüm dosyaların silinmesini içeriyordu.
“Saldırgan tarafından oluşturulan hesaplar kaldırıldı ve son olarak Windows Olay günlükleri […] temizlenecekti.”
Cisco Talos’a göre hedeflenen kuruluşlar Kanada, Japonya ve ABD gibi ülkelerdendi.
Ek olarak, yazı şöyle diyor: “Kampanya, uzun vadeli erişim sağlamak ve ardından düşmanın ulus-devletinin ilgisini çeken verileri sızdırmak için dünyanın dört bir yanındaki kuruluşlara sızmayı amaçlıyor.”
Bu tavsiye, Lazarus Group’un yaz boyunca faaliyetlerini anlatan uzun bir listenin sonuncusudur.
Haziran ayında, tehdit aktörünün kripto para birimi şirketi Harmony’den 100 milyon dolarlık hırsızlığın arkasında olabileceği bildirildi.