Tedarik zincirine yönelik bir bilgisayar korsanının saldırısı, mal ve hizmet akışını bozarak geniş çaplı ekonomik ve operasyonel hasara yol açabileceğinden son derece tehlikeli olabilir.
Bu tür saldırılar şirketler ve genel olarak toplum için ciddi bir risk oluşturur çünkü aşağıdaki sonuçlar doğurabilir: –
- Parasal kayıplar
- Birinin itibarına zarar vermek
- Kamu güvenliğini tehlikeye atma
Bu yıl bir yazılım satıcısı, önceden yapılan uyarılara ve yamalara rağmen yama yapılmamış yazılım nedeniyle Lazarus kötü amaçlı yazılımının kurbanı oldu. Ancak Securelist’teki güvenlik analistleri, başka bir satıcıya yönelik benzer bir saldırıyı proaktif olarak tespit edip durdurdu.
Kaspersky’deki araştırmacılar, kalıcı bir tehdit aktörü olan Lazarus’un defalarca bir yazılım satıcısını hedef aldığını keşfetti. Amaçları satıcının kaynak kodunu çalmak ve yazılım tedarik zincirini tehlikeye atmaktı.
Enfeksiyon Zaman Çizelgesi
Tehdit aktörleri, SIGNBT kötü amaçlı yazılımını kontrol etme konusunda ileri düzey beceriler sergiledi. Bellek, aşağıdaki sektörlere yapılan geçmiş saldırılarda profil oluşturma ve yükler için kullanılan Lazarus’un LPEC İstemcisi’ni barındırıyordu: –
Aşağıda enfeksiyon zaman çizelgesini sunduk: –
Yazılım Satıcısı Sınırlı
Güvenlik analistleri, Temmuz 2023’te web güvenliği yazılımından yararlanılarak birçok saldırı tespit etti. Temmuz 2023’te araştırmacılar, web güvenliği yazılımından yararlanılarak yapılan saldırıları tespit etti. Kesin yöntem bilinmiyor, ancak yazılımın belleğinde SIGNBT kötü amaçlı yazılımını buldular ve aşağıdakileri oluşturma gibi taktiklerle kalıcılık sağladılar: –
- ualapi.dll dosyası
- meşru dosyaları yandan yükleme
Lazarus genellikle spoolsv.exe dosyasını ele geçirir ve ualapi.dll dosyasını kullanır, çünkü bu teknik Gopuram kötü amaçlı yazılımına benzer.
Shareaza Torrent Sihirbazı koduyla ualapi.dll dosyasını oluşturuyorlar ve kurbanı MachineGuid kullanarak doğruluyorlar. Eşleşirse, kötü amaçlı yazılım bir sonraki adıma geçerek yükü belirli bir dosya yolundan okur.
Yükleyici, tw-100a-a00-e14d9.tmp dosyasındaki bir anahtarla SIGNBT’nin şifresini çözer ve ardından bir yapılandırma dosyasını okur.
Dosyadaki base64 kodlu dizenin ilk 32 karakteri, şifre çözme için bir AES anahtarı görevi görür. Yapılandırma C2 adreslerini, uyku aralıklarını ve diğer kritik parametreleri içerir.
SIGNBT kötü amaçlı yazılımı öncelikle bir yükleyici aracılığıyla bellekte çalışır. Farklı C2 aşamalarında doğrulama için benzersiz SIGNBT dizeleri ve değişen önekler kullanarak bir C2 sunucusuyla iletişim kurar.
Aşağıda, kullanılan tüm öneklerden bahsettik: –
- İŞARETBTLG
- İŞARETLEYİCİ
- SIGNBTGC
- SIGNBTFI
- SIGNBTSR
Kötü amaçlı yazılım 24 baytlık bir değer oluşturuyor, bunu 24 baytlık bir anahtar kullanarak rastgele verilerle XOR’luyor ve ardından her ikisini de base64 ile kodluyor. Rastgele HTTP parametre adları ekleyerek C2 iletişimlerinin analiz edilmesini zorlaştırır.
Kötü amaçlı yazılım, C2 yanıtlarını bir “XOR başarısı” kontrolüyle doğrular. Başarılı olursa, kurbanın bilgisayar bilgilerini toplar ve ardından SIGNBTLG’den bir AES anahtarı kullanarak şifreyi çözerek SIGNBTGC önekiyle veri gönderir. “Tut” ise “Tamam” ile yanıt verir; aksi takdirde C2 iletişimindeki sorunları bildirmek için SIGNBTFI’yi kullanır.
Aktör, LPEClient ve kimlik bilgisi çöpçüleri gibi bellekte yerleşik ek kötü amaçlı yazılımlar dağıtıyor.
LPEC Client 2020’de keşfedildi, bilgi topluyor ve bellek içi yürütme için yükleri indiriyor; artık iyileştirilmiş gizlilik taktikleriyle tehdit aktörlerinin evrimini gösteriyor.
Çok yönlü bir tehdit aktörü olan Lazarus Group, yüksek profilli yazılım açıklarından yararlanır ve kötü amaçlı yazılımları verimli bir şekilde yayarak gelişmiş yöntemler ve kalıcı motivasyonla endüstrileri ve coğrafi sınırları aşar.
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Bir dene ücretsiz deneme % 100 güvenlik sağlamak için.