Lazarus grubu, AppleJeus kötü amaçlı yazılımını yerleştirmek için sahte kripto para birimi uygulamaları kullanıyor

   Aralık 8, 2022  Posted in MalwareBytes



Araştırmacılar, sahte bir web sitesi ve kötü amaçlı belgeler dağıtarak bir kez daha kripto para birimi kullanıcılarını ve kuruluşlarını hedefleyen yeni bir Lazarus kampanyası buldular.

APT38 olarak da bilinen Kuzey Koreli Lazarus Grubu, en gelişmiş Kuzey Kore APT’lerinden biridir. 2009’dan beri aktif ve birçok yüksek profilli saldırıdan sorumlu.

2022 yılının Ocak ayında Malwarebytes İstihbarat Ekibi, Lazarus’un tanıdık bir iş fırsatları teması kullanan kötü amaçlı belgelerle silahlandırılmış hedef odaklı kimlik avı saldırıları gerçekleştirdiği bir kampanyayı ortaya çıkardı. Şimdi, Volexity’deki araştırmacılar, kötü amaçlı Microsoft Office belgelerini kullanarak AppleJeus kötü amaçlı yazılımının bir çeşidiyle muhtemelen kripto para birimi kullanıcılarını ve kuruluşlarını hedefleyen yeni bir kampanyayı analiz ettiler.

Lazarus Grubu

Lazarus grubunun genellikle Kuzey Kore hükümeti tarafından yönetildiğine inanılıyor. Uzun süredir devam eden uluslararası yaptırımlar nedeniyle çok az ticaret fırsatına sahip olan bir rejim için para toplamanın bir yolu olarak mali siber suçlar düzenlediği düşünülüyor. Grubun tercih ettiği taktiklerden biri, AppleJeus gibi truva atı haline getirilmiş kripto para birimi ile ilgili uygulamaları kullanmaktır.

ElmaJeus

2018’den beri Lazarus Group’un taktiklerinden biri, AppleJeus kötü amaçlı yazılımını hem Windows hem de Mac için kripto para ticaret platformları olarak gizlemek olmuştur. Nisan ayında CISA, Lazarus Group’un bu truva atı haline getirilmiş uygulamaları kurbanların bilgisayarlarına erişmek, diğer kötü amaçlı yazılımları yaymak ve özel anahtarları çalmak veya diğer güvenlik açıklarından yararlanmak için kullandığı konusunda uyardı. Tüm bunlar, grubun hileli kripto para birimi işlemlerini başlatabileceği bir ortam yaratmak için yapılır.

yeni kampanya

Kampanya, Lazarus Group alan adını tescil ettirdiğinde başlamıştır. blok sahibi[.]iletişim. Lazarus Group’un orada oluşturduğu web sitesi, meşru web sitesi HaasOnline’ın bir kopyasıdır. HaasOnline, kullanıcıların karmaşık otomatik ticaret algoritmaları oluşturmasına olanak tanıyan bir kripto betik dili olan HaasScript’i geliştiren Hollandalı bir şirkettir.

Klonlanan web sitesi, BloxHolder uygulaması için bir yükleyici gibi davranan bir Windows MSI yükleyicisi dağıttı. Aslında, Lazarus tarafından daha önce kullanılmış olan açık kaynaklı bir kripto para birimi ticaret uygulaması olan QTBitcoinTrader uygulamasıyla birlikte gelen AppleJeus kötü amaçlı yazılımıydı.

BloxHolder yükleyici

BloxHolder yükleyicisinin başlangıç ​​ekranı

Arka planda yükleyici, meşru yürütülebilir dosyayı yürüten bir Zamanlanmış Görev oluşturur. CameraSettingsUIHost.exe etkilenen sistemdeki herhangi bir kullanıcının oturum açmasında.

DLL yandan yükleme

Yürütülebilir bir dosya, Windows’ta bir dinamik bağlantı kitaplığı (DLL) yüklediğinde, kitaplığı birkaç konumda arar. İlk üçü:

  1. Belirli bir konum
  2. Yürütülebilir dosyanın bulunduğu klasör/dizin
  3. sistem dizini

DLL araması bu sırayla yapılır ve ilk bulunan yüklenir. Normalde görmeyi beklediğimiz şey yürütülebilir dosyanın ve DLL’nin aynı dizine düşmesidir, ancak bu kampanyada tehdit aktörü fazladan bir adım kullandı.

CameraSettingsUIHost.exe yasal yükler dui70.dll daha sonra kötü amaçlı yazılımın yüklenmesine neden olan sistem dizininden DUser.dll yürütülebilir dosyayla aynı dizine bırakıldı. Grubun neden bu dizine kötü niyetli bir dui70.dll bırakmak yerine bu yöntemi kullandığı açık değil.

İkinci dalga

Ekim 2022’de Lazarus Group, AppleJeus kötü amaçlı yazılımını dağıtmak için kötü amaçlı bir Microsoft Office belgesini kullanmaya başladı. Belge, hedef sisteme kötü amaçlı yazılım dağıtmak için katıştırılmış makrolar kullanır. Kötü amaçlı yazılımın amacı, dosya paylaşım hizmeti OpenDrive’dan bir yük indirmektir.

Dikkat olmak

Kripto ticaret platformları ve uygulamaları son zamanlarda birçok saldırıya ve dolandırıcılığa konu olmuştur. Kripto para biriminiz konusunda kime güvendiğiniz ve ticaretinizi nasıl yaptığınız konusunda çok dikkatli olmakta fayda var.

IOC’ler

BloxHolder msi’yi yükleyen kullanıcılar, uygulamayı yüklü programlar listesinde de bulabilir:

Metin içeren resim Otomatik olarak oluşturulmuş açıklama

Etki alanları:

gerilim hizmeti[.]iletişim

blok sahibi[.]iletişim

asi parmak[.]ağ

telsiz[.]iletişim

yağlı kargo[.]iletişim

telloo[.]ben

bloxtutucu[.]iletişim

Dosyalar:

%APPDATA%\Roaming\Bloxholder\CameraSettingsUIHost.exe

%APPDATA%\Roaming\Bloxholder\DUser.dll

%APPDATA%\Roaming\Bloxholder\18e190413af045db88dfbd29609eb877

BloxHolder_v1.2.5.msi

Planli gorev:

%SYSDIR%\Görevler\Bloxholder*

Tehditleri sadece rapor etmiyoruz, onları kaldırıyoruz

Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.



Source link