Kuzey Koreli bilgisayar korsanları dünya çapında Log4Shell’i kullanmaya devam ediyor. Ve son zamanlarda bu erişimi, nadiren görülen “D” (diğer adıyla dlang) programlama dilinde yazılmış üç yeni uzaktan erişim Truva Atı’ndan (RAT) biriyle kuruluşlara saldırmak için kullanıyorlar.
Bu planın arkasındaki grup — “Andariel” (aka Onyx Sleet, Plütonyum) — şemsiye siber suç topluluğu Lazarus’un içindeki birçok kuruluştan biridir. Andariel, Kim Jung Un rejiminin hizmetinde olan uzun vadeli casusluk kampanyaları için ilk erişimi ve sürekliliği elde etme konusunda uzmanlaşmıştır. Ancak bazı durumlarda sağlık kuruluşlarına yönelik kendi fidye yazılımı saldırılarını da gerçekleştirdi.
Mart ayından bu yana Cisco Talos üç Andariel saldırısını gözlemledi Önemli olan: Güney Amerika’daki bir tarım örgütüne, Avrupalı bir imalat şirketine ve Koreli bir fiziksel güvenlik şirketinin Amerikalı bir yan kuruluşuna karşı.
Bu vakaların her birinde grup, tespit ve analizi engellemek amacıyla “D” olarak bilinen, popüler olmayan bir C++ yan programlama diliyle yazılmış yeni kötü amaçlı yazılımlar kullandı. Cisco Talos’un sosyal yardım başkanı Nick Biasini’nin vurguladığı gibi, Kuzey Kore’nin bilgisayar korsanlarını en benzersiz kılan şey budur.
“Uzun süredir araçlar çöküyor; herkes atıfları gizlemek için aynı araç setlerini kullanıyor” diyor. “Lazarus tam tersi yöne gitti. Özel kötü amaçlı yazılımlar yazmaya bayılıyorlar.”
Andariel’in Son Siber Saldırıları
Andariel’in son saldırıları istismar yoluyla başladı Log4Shell’i taşıyan açıkta kalan VMware Horizon sunucularıApache Log4j’deki 2 yıllık tarihi güvenlik açığı.
Biasini, biraz sempati ve bir uyarıyla, “Kurumların Log4j’den etkilendiğinin farkına bile varmadıkları bir yazılıma sahip olmaları mümkün; bu yazılım o kadar yaygın bir şekilde kullanıldı ki, kademeli etkiler bugün hala gerçekten hissediliyor” diyor. “Bununla birlikte yama uygulamak hâlâ kuruluşların uğraştığı bir konu.”
İzinsiz girişin ardından saldırganlar, kalıcılığı sağlamak için özel bir proxy aracı olan “HazyLoad”ı bıraktı. Daha sonra, Mimikatz gibi kimlik bilgisi toplama yazılımlarını ve sonuçta kendi özel kötü amaçlı yazılım araçlarını indirmek için kullandıkları ana makinede yönetici ayrıcalıklarına sahip yeni kullanıcılar oluşturdular.
Andariel’in mevcut cephaneliği, komuta ve kontrol (C2) tabanı olarak Telegram’ı kullanan bir arka kapı olan “NineRAT”ı; Ek kötü amaçlı yazılım indirmek ve virüslü ana bilgisayarlarda komutları yürütmek için kullanılan “DLRAT”; ve “BottomLoader” adlı bir indirici.
Dışardan bakıldığında olağandışı olsa da, bu yeni araçlar C++’ın 22 yıllık bir dalı olan D ile yazılmalarıyla dikkat çekiyor.
Kuzey Kore Hackerlarının Olağanüstü Çeşitleri
Bazı bilgisayar korsanları, arazide yaşama (LotL) tekniklerini kullanarak gizliliği elde ediyor. Bazıları kod gizleme, steganografi ve daha ayrıntılı hileler kullanıyor. Bunun tersine, Kuzey Koreli bilgisayar korsanları, düşmanlarının beklemediği eski, sevilmeyen programlama dillerini kullanarak, toplu olarak özel kötü amaçlı yazılımlar oluşturarak tespit ve analize herkesten daha fazla direniyor gibi görünüyor.
Biasini, “Kötü amaçlı yazılım tespitinin çoğu ya belirli kötü amaçlı yazılım çeşitleri için yazılmıştır ya da kötü amaçlı yazılımın daha genel özelliklerini tespit edecek şekilde yazılmıştır” diye açıklıyor. Kuzey Kore’nin bolca ürettiği yeni kötü amaçlı yazılımlar, belirli imzaları arayan antivirüs taramalarını yenmeye hizmet ediyor ve D gibi tuhaf diller, daha yaygın olanlarla eğitilmiş programlar için bir zorluk katmanı ekliyor.
Lazarus bunu şununla kanıtladı: Yakın zamanda keşfedilen araç “QuiteRAT” Grafiksel kullanıcı arayüzleri oluşturmak için tasarlanmış bir program olan Qt ile oluşturulmuştur. “Bu tuhaf programlama dillerini kullanarak, potansiyel olarak bu tespitlerin bazılarından kaçabilirler. Belki uç nokta tespiti, dlang dilinde yazılmış tuhaf RAT’ı işaretlemez, ancak C veya C++ ile yazılmış bir RAT çekerlerse, bu derhal işaretlensin” diyor Biasini.
İşte bu nedenle Lazarus’un saldırıları biraz daha fazla dikkat gerektiriyor.
Biasini, “Ayaklarınızı yere basmanız ve bunun nasıl çalıştığını anlamanız biraz zaman alacak” diye uyarıyor, “çünkü mantıksal olarak hepsi aynı, ancak bunu yalnızca farklı bir formatta yapıyor.”