Kore Demokratik Halk Cumhuriyeti (DPRK) ile bağlantısı olan kötü şöhretli bir tehdit aktörü olan Lazarus Grubunun, nükleerle ilgili bir kuruluşa ait en az iki çalışanı bir ay içinde hedef alan “karmaşık bir enfeksiyon zincirinden” yararlandığı gözlemlendi. Ocak 2024.
Saldırılar, yeni bir modüler arka kapının konuşlandırılmasıyla sonuçlandı. CookiePlussiber güvenlik şirketi Kaspersky tarafından NukeSped olarak da takip edilen, Dream Job Operasyonu olarak bilinen uzun süredir devam eden bir siber casusluk kampanyasının parçasıdır. ClearSky tarafından açığa çıkarıldığı en az 2020 yılından bu yana aktif olduğu biliniyor.
Bu faaliyetler genellikle savunma, havacılık, kripto para birimi ve diğer küresel sektörler de dahil olmak üzere çeşitli şirketlerdeki geliştiricileri ve çalışanları, sonuçta makinelerine kötü amaçlı yazılımların yayılmasına yol açan kazançlı iş fırsatlarıyla hedeflemeyi içerir.
“Lazarus, DeathNote kampanyasının bir parçası olarak tedarik zinciri saldırıları gerçekleştirmekle ilgileniyor ancak bu çoğunlukla iki yöntemle sınırlı: Birincisi, hedefe özel iş tanımlarını görüntüleyen kötü amaçlı bir belge veya truva atı haline getirilmiş PDF görüntüleyici göndermek.” Rus firması kapsamlı bir analizde bunu söyledi.
“İkincisi, hedefleri beceri değerlendirmesi için belirli bir sunucuya bağlanmaya ikna etmek amacıyla VNC veya PuTTY gibi truva atı haline getirilmiş uzaktan erişim araçlarının dağıtılmasıdır.”
Kaspersky tarafından belgelenen en son saldırı dizisi, saldırganın önde gelen havacılık ve savunma şirketlerindeki BT pozisyonları için beceri değerlendirmesi yapma bahanesi altında truva atı haline getirilmiş bir VNC hizmeti sunan, tamamen yenilenmiş bir enfeksiyon zincirinden yararlandığı ikinci yöntemi içeriyor.
Lazarus Group’un nükleer mühendisleri hedef almak için VNC uygulamalarının hileli sürümlerini kullanmasının daha önce şirket tarafından Ekim 2023’te 2023’ün 3. çeyreğine ilişkin APT trend raporunda vurgulandığını belirtmekte fayda var.
Araştırmacılar Vasily Berdnikov ve Sojun Ryu, “Lazarus ilk arşiv dosyasını aynı kuruluş içindeki en az iki kişiye teslim etti (bunlara Sunucu A ve Sunucu B diyeceğiz),” dedi. “Bir ay sonra ilk hedefe daha yoğun saldırı girişiminde bulundular.”
TightVNC’nin “AmazonVNC.exe” adlı truva atı haline getirilmiş bir sürümü olan VNC uygulamalarının hem ISO görüntüleri hem de ZIP dosyaları biçiminde dağıtıldığına inanılıyor. Diğer durumlarda, ZIP arşivine paketlenmiş kötü amaçlı bir DLL dosyasını dışarıdan yüklemek için UltraVNC’nin meşru bir sürümü kullanıldı.
DLL (“vnclang.dll”), Eylül 2024’te Google’ın sahibi Mandiant tarafından ortaya çıkarılan MISTPEN adlı bir arka kapı için yükleyici görevi görüyor. UNC2970 adı altında etkinlik kümesini izliyor. MISTPEN’in ise RollMid kod adlı iki ek yük ve LPEClient’in yeni bir çeşidini sunduğu görüldü.
Kaspersky ayrıca CookieTime kötü amaçlı yazılımının A Ana Bilgisayarına konuşlandırıldığını gözlemlediğini ancak bunu kolaylaştırmak için kullanılan kesin yöntemin bilinmediğini söyledi. Şirket tarafından ilk olarak Eylül ve Kasım 2020’de keşfedilen CookieTime, adını bir komut ve kontrol (C2) sunucusundan talimatlar almak için HTTP isteklerinde kodlanmış çerez değerlerini kullanması nedeniyle almıştır.
Saldırı zincirinin daha ayrıntılı incelenmesi, tehdit aktörünün Ana Bilgisayar A’dan başka bir makineye (Ana Bilgisayar C) yatay olarak hareket ettiğini ortaya çıkardı; burada CookieTime, Şubat ve Haziran 2024 arasında aşağıdaki gibi çeşitli yükleri düşürmek için tekrar kullanıldı:
- LPEClient, güvenliği ihlal edilmiş ana bilgisayarların profilini çıkarma yetenekleriyle donatılmış olarak gelen bir kötü amaçlı yazılım
- ServiceChanger, hedeflenen meşru bir hizmeti durdurarak, içine gömülü hileli bir DLL’yi, DLL tarafından yükleme yoluyla yürütülebilir dosyayı kullanarak dışarıdan yüklemek için durduran bir kötü amaçlı yazılımdır.
- CookieTime, CookiePlus ve ForestTiger gibi dahili kaynakların şifresini çözen ve yükleyen bir yükleyici kötü amaçlı yazılım olan Charamel Loader
- Hem ServiceChanger hem de Charamel Loader tarafından yüklenen, eklenti tabanlı yeni bir kötü amaçlı program olan CookiePlus
Araştırmacılar, “Charamel Loader ve ServiceChanger tarafından yüklenen her CookiePlus arasındaki fark, yürütülme şeklidir. İlki, yalnızca bir DLL olarak çalışır ve kaynaklar bölümünde C2 bilgilerini içerir” dedi.
“İkincisi, msado.inc gibi ayrı bir harici dosyada saklananları getirir; bu, CookiePlus’ın hem dahili bir kaynaktan hem de harici bir dosyadan C2 listesi alma yeteneğine sahip olduğu anlamına gelir. Aksi takdirde davranış aynıdır.”
CookiePlus adını, doğada ilk kez tespit edildiğinde ComparePlus adı verilen açık kaynaklı bir Notepad++ eklentisi olarak gizlenmiş olmasından alıyor. Nükleer bağlantılı kuruluşu hedef alan saldırılarda DirectX-Wrappers isimli başka bir projeye dayandığı tespit edildi.
Kötü amaçlı yazılım, C2 sunucusundan Base64 kodlu, RSA şifreli bir veriyi almak için bir indirici görevi görüyor ve daha sonra üç farklı kabuk kodunu veya bir DLL’yi yürütmek için kodu çözülüyor ve şifresi çözülüyor. Kabuk kodları, sistem bilgilerini toplayacak ve ana CookiePlus modülünü belirli bir süre boyunca uyku moduna geçirecek özelliklerle donatılmıştır.
CookiePlus’ın, her ikisinin de kendilerini Notepad++ eklentileri olarak gizlemiş olmaları da dahil olmak üzere, iki kötü amaçlı yazılım ailesi arasındaki davranışsal örtüşmeler nedeniyle MISTPEN’in halefi olduğundan şüpheleniliyor.
Kaspersky, “Tarihi boyunca Lazarus grubu, Mata ve Gopuram Loader gibi yalnızca az sayıda modüler kötü amaçlı yazılım çerçevesi kullandı.” dedi. “CookiePlus gibi yeni modüler kötü amaçlı yazılımları piyasaya sürdükleri gerçeği, grubun güvenlik ürünleri tarafından tespit edilmekten kaçınmak için cephaneliğini ve enfeksiyon zincirlerini sürekli olarak geliştirmeye çalıştığını gösteriyor.”
Bulgular, blockchain istihbarat firması Chainaliz’in, Kuzey Kore’ye bağlı tehdit aktörlerinin 47 kripto para saldırısında 2023’teki 660,50 milyon dolardan 2024’te 1,34 milyar dolar çaldığını ortaya koymasının ardından geldi. Buna Mayıs 2024’te Japon kripto para borsası DMM Bitcoin’in ihlali de dahildi. o sırada 305 milyon dolarlık bir kayıp.
Şirket, “Maalesef Kuzey Kore’nin kripto saldırılarının daha sıklaştığı görülüyor” dedi. “Özellikle, 50 ile 100 milyon dolar arasındaki ve 100 milyon doların üzerindeki saldırılar, 2024’te 2023’e göre çok daha sık meydana geldi, bu da Kuzey Kore’nin büyük istismarlarda giderek daha iyi ve daha hızlı hale geldiğini gösteriyor.”