Lazarus Group olarak bilinen Kuzey Kore bağlantılı tehdit aktörünün, Zoho ManageEngine ServiceDesk Plus’ı etkileyen, şu anda yamalanmış kritik bir güvenlik açığından yararlanarak aşağıdaki gibi bir uzaktan erişim truva atı dağıttığı gözlemlendi: Çıkış yapmak.
Siber güvenlik şirketi Cisco Talos, bugün yayınlanan iki bölümlü bir analizde, hedeflerin arasında internet omurgası altyapısı ile Avrupa ve ABD’deki sağlık kuruluşlarının yer aldığını söyledi.
Dahası, düşmanın işletmelere yönelik siber saldırılarında geri dönüştürülmüş saldırı altyapısının daha yakından incelenmesi, “Almanya” adı verilen yeni bir tehdidin keşfedilmesine yol açtı. KoleksiyonRAT.
Talos, bu bileşenlerin yıllar içinde iyi bir şekilde belgelenmesine rağmen Lazarus Grubu’nun aynı ticari beceriye güvenmeye devam etmesinin, tehdit aktörünün operasyonlarına olan güveninin altını çizdiğini belirtti.
QuietRAT’ın, TigerRAT’ın devamı olan MagicRAT’ın halefi olduğu söylenirken CollectionRAT, uç noktada komut çalıştırma yeteneklerine sahip, PureBasic’te yazılmış bir implant olan EarlyRAT (diğer adıyla Jüpiter) ile örtüşmeleri paylaşıyor gibi görünüyor.
Güvenlik araştırmacıları Asheer Malhotra, Vitor Ventura ve Jungsoo An, “QuiteRAT, Lazarus Group’un daha iyi bilinen MagicRAT kötü amaçlı yazılımıyla aynı yeteneklerin çoğuna sahip ancak dosya boyutu önemli ölçüde daha küçük” dedi. “Her iki implant da Qt çerçevesi üzerine inşa edildi ve keyfi komut yürütme gibi yetenekler içeriyor.”
Qt çerçevesinin kullanılması, “kötü amaçlı yazılımın kodunun karmaşıklığını artırdığı” için, düşmanın analizi çok daha zorlu hale getirmeye yönelik kasıtlı bir çabası olarak görülüyor.
2023’ün başlarında tespit edilen etkinlik, CVE-2022-47966’nın, çevrimiçi ortamda ortaya çıkan kusurun kavram kanıtından (Poc) yalnızca beş gün sonra, QuitRAT ikili dosyasını kötü amaçlı bir URL’den doğrudan dağıtmak için kullanılmasını içeriyordu.
Araştırmacılar, “QuiteRAT açıkça MagicRAT’ın bir evrimidir” dedi. “MagicRAT, ortalama 18 MB boyutuyla daha büyük, daha hacimli bir kötü amaçlı yazılım ailesi olmasına rağmen, QuietRAT, ortalama 4 ila 5 MB boyutuyla çok daha küçük bir uygulamadır.”
İkisi arasındaki bir diğer önemli fark, QuietRAT’ta yerleşik bir kalıcılık mekanizmasının olmayışıdır; bu mekanizma, tehlikeye atılan ana bilgisayarda sürekli çalışmayı sağlamak için sunucudan bir komut verilmesini gerektirir.
Bulgular aynı zamanda WithSecure tarafından bu Şubat ayı başlarında ortaya çıkarılan, yamalı Zimbra cihazlarındaki güvenlik kusurlarının kurban sistemlerine sızmak ve sonuçta QuietRAT’ı yüklemek için kullanıldığı başka bir kampanyayla da örtüşüyor.
Cisco Talos, saldırganın “uzlaşma sonrası aşamada bunları katı bir şekilde kullanmak yerine, saldırılarının ilk erişim aşamasında açık kaynaklı araçlara ve çerçevelere giderek daha fazla güvendiğini” söyledi.
Bu, kalıcı erişim elde etmek için GoLang tabanlı açık kaynaklı DeimosC2 çerçevesini içerir; CollectionRAT öncelikle meta verileri toplamak, rastgele komutları çalıştırmak, virüslü sistemdeki dosyaları yönetmek ve ek yükler sağlamak için kullanılır.
CollectionRAT’ın nasıl yayıldığı hemen belli değil, ancak kanıtlar, aynı altyapıda barındırılan PuTTY Link (Plink) yardımcı programının truva atı haline getirilmiş bir kopyasının, sisteme uzak bir tünel oluşturmak ve kötü amaçlı yazılımı sunmak için kullanıldığını gösteriyor.
Araştırmacılar, “Lazarus Grubu daha önce, başarıyla ele geçirilen bir sisteme kalıcı ilk erişim sağlamak için MagicRAT, VSingle, Dtrack ve YamaBot gibi özel yapım implantların kullanımına güveniyordu” dedi.
“Bu implantlar daha sonra, tehlikeye atılan kurumsal ağda çok sayıda kötü amaçlı, uygulamalı klavye etkinliğini gerçekleştirmek için çeşitli açık kaynaklı veya çift kullanımlı araçları dağıtacak şekilde donatılıyor.”
Bu gelişme, Lazarus Grubunun sürekli olarak taktik değiştirdiğinin ve kötü niyetli cephaneliğini genişlettiğinin, aynı zamanda yazılımda yeni ortaya çıkan güvenlik açıklarını yıkıcı etkilerle silahlandırdığının bir işaretidir.