Kritik Altyapı Güvenliği, Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
Kötü Amaçlı Yazılım Olağandışı Bir Geliştirme Çerçevesine Dayalı
Jayant Chakraborty (@JayJay_Tech) •
25 Ağustos 2023
Araştırmacılar, Kuzey Kore devlet korsanlarının, Avrupa ve ABD’nin kritik altyapısını etkileyen bir kampanyada BT hizmet yönetimi yazılımındaki bir kusur aracılığıyla daha kompakt bir uzaktan erişim Truva Atı dağıttığını tespit etti.
Ayrıca bakınız: Savaş Sisi | Ukrayna Çatışması Siber Tehdit Ortamını Nasıl Dönüştürdü?
Güvenlik firması Cisco Talos, Lazarus Group’un Mayıs ayında, Cisco Talos’un 2022 sonbaharında MagicRat adını verdiği özel Kuzey Kore kötü amaçlı yazılımlarının daha küçük bir versiyonu olması nedeniyle araştırmacıların QuietRAT adını verdiği bir Truva atını dağıtmaya başladığını söyledi. Yeni varyant, daha büyük öncüsüyle aynı yeteneklerin çoğunu koruyor .
Bir ağa girdikten sonra, QuietRAT ilk sistem keşfini gerçekleştirir, bilgileri bir komuta ve kontrol sunucusuna aktarır ve kalıcılık oluşturma, rastgele kod çalıştırma veya ek kötü amaçlı yazılım dağıtma gibi ek görevleri gerçekleştirmek için yeni komutları bekler.
Her iki Truva atı da QT açık kaynak geliştirme çerçevesine dayanmaktadır; bu, QT “kötü amaçlı yazılım geliştirmede nadiren kullanıldığından” makine öğrenimi ve buluşsal analiz algılama araçlarını daha az güvenilir hale getirir. Ne MagicRAT ne de QuietRAT’ın GUI’si olmamasına rağmen, uygulamalarda grafiksel kullanıcı arayüzleri geliştirmek için yaygın olarak kullanılır. Çerçeve aynı zamanda kodun karmaşıklığı nedeniyle insan analizini de zorlaştırıyor.
Kuzey Koreli kodlayıcılar, çerçevenin tamamı yerine yalnızca bir avuç QT kütüphanesini dahil ederek Truva Atı’nın boyutunu MagicRAT’ın 18 MB’ından 5 megabayta sıkıştırdılar. Araştırmacılar, QuietRAT’ın gömülü bir arka kapı yerine bir komuta ve kontrol sunucusundan ek kod indirerek kalıcılık sağladığını da belirtti.
Pyongyang’lı bilgisayar korsanlarının Avrupa ve ABD’deki internet omurgası altyapısını ve sağlık kuruluşlarını hedef almak için QuietRAT’ı kullandığını söylediler. Bilgisayar korsanları, Zoho’nun ManageEngine ServiceDesk uygulamasındaki 2022-47966 olarak takip edilen bir güvenlik açığından yararlandı.
Araştırmacılar, bilgisayar korsanlarının QuietRAT’ı dağıtmak için kullandıkları internet protokolü adresini takip ederek kampanyayı kısmen Kuzey Kore’ye atfedebileceğini söyledi. Adres, 146.4.21.94“Lazarus tarafından en az Mayıs 2022’den beri kullanılıyor” dediler.
Cisco Talos, MagicRAT’ı ilk kez 2022’de Lazarus’un dünya çapındaki enerji şirketlerini hedef almak için kamuya açık VMWare Horizon platformlarındaki güvenlik açıklarından yararlandığını izlediğinde gözlemledi.