Lazarus Grubu, kötü niyetli ASP Web Kabukları Dağıtım için IIS sunucularını silahlandırır

   Mart 14, 2025  Posted in GBHackers


Kötü şöhretli Lazarus Grubu, kötü niyetli ASP web mermileri dağıtmak için tehlikeye atılmış IIS sunucularından yararlanıyor olarak tanımlanmıştır.

Bu sofistike saldırıların, Lazarloader varyantı da dahil olmak üzere kötü amaçlı yazılımların yayılmasını kolaylaştırdığı ve enfekte olmuş sistemler üzerinde geniş kontrol elde etmek için ayrıcalık artış araçlarını kullandığı bildirilmiştir.

Kuzey Koreli aktörlerle ilişkili Lazarus Grubu, finansal soygunlardan casusluk görevlerine kadar yüksek profilli siber operasyonların düzenlenmesinde aktiftir.

Taktikleri genellikle web sunucularındaki güvenlik açıklarından yararlanmayı ve komut ve kontrol (C2) altyapılarını yönetmek için web mermilerinden yararlanmayı içerir.

Son Saldırı Teknikleri

Ahnlab Güvenlik İstihbarat Merkezi’nden (ASEC) son raporlar, Lazarus Group’un IIS sunucularını içeren en son taktiklerini vurgulamaktadır.

Özellikle Güney Koreli varlıkları hedefleyen bu sunucular, kötü amaçlı yazılım ve ikincil C2 sunucuları arasında iletişim aracılık etmek için vekil olarak hareket eden birinci aşama C2 sunucuları olarak kullanılır.

Bu stratejik kurulum, grubun operasyonlarında gizli ve uzun ömürlülüğü korumasını sağlar.

C2 Script Analizi

Yeni tanımlanan C2 komut dosyası, geçmiş varyantlardan farklı olsa da, saldırının farklı aşamalarında iletişimi yönetmek için bir vekil olarak çalışan benzer bir amacı korur.

Kaspersky tarafından herkese açık olarak açıklanan C2 komut dosyasıyla aynı türKaspersky tarafından herkese açık olarak açıklanan C2 komut dosyasıyla aynı tür
Kaspersky tarafından herkese açık olarak açıklanan C2 komut dosyasıyla aynı tür

Dikkate değer geliştirmeler, iletişim sırasında hem form verileri hem de çerez verileri için destek içerir. Komut dosyası çeşitli komutları işler:

  • Form Modu:
    • MidRequest: Verileri yeniden yönlendirin
    • ProxyCheck: Orta Bilgi Kaydet
    • Readfile, WriteFile: dosyaları manipüle edin
    • ClientHello: Orta Bilgi ile Yanıtlayın ve Proxy Günlüğü Yazın
    • Proxylog: Proxy Log ile Yanıtlayın
    • CheckFiletransfer: Dosya arayın
  • Çerez yöntemi:
    • MidRequest, Readfile, WriteFile ve Clienthello ile benzer komutlar desteklenir

Web Kabuğu Analizi

C2 komut dosyalarına ek olarak, Lazarus Group Redhat Hacker Web Shell gibi web kabuklarını kullandı.

Redhat Hacker Web ShellRedhat Hacker Web Shell
Redhat Hacker Web Shell

Function2.asp gibi dosyalarda bulunan web kabukları şifrelenir ve yakın zamanda 2345RDX olarak tanımlanan erişim için bir şifre gerektirir.

Bu mermiler, dosya yönetimi, süreç yürütme ve SQL sorguları dahil olmak üzere kapsamlı işlevler sağlar.

Paket şifresini çözme için farklı şifreleme tuşları kullanırken benzer özellikler sunan FILE_UPLOADER_OK.ASP ve find_pwd.asp adlı diğer web mermileri de tanımlandı.

Lazarloader ve ayrıcalık yükseltme

Bir kötü amaçlı yazılım yükleyici olan Lazarloader, bu web kabuklarıyla birlikte gözlenmiştir. Harici kaynaklardan yükleri indirir, şifresini çözer ve yürütür.

Lazarloader'ın kurulum günlüğüLazarloader'ın kurulum günlüğü
Lazarloader’ın kurulum günlüğü

Son saldırılarda, Lazarloader ek kötü amaçlı yazılım yüklemek için kullanıldı, yük indirme için sert kodlanmış bir adres ve şifre çözme için belirli bir anahtar kullanıldı.

LazarLoader’ın yanı sıra, yüksek yazılımları yüksek ayrıcalıklarla yürütmek için ComputerDefaults.exe veya Fodhelper.exe aracılığıyla UAC bypass teknikleri kullanılarak bir ayrıcalık yükseltme aracı tanımlandı.

Etki ve Öneriler

Lazarus Group’un IIS sunucularını silahlandırma ve güvenlik açıklarını kullanma yeteneği, web sunucuları için sağlam güvenlik önlemlerinin öneminin altını çiziyor. İşte temel öneriler:

  • Düzenli Güvenlik Denetimleri: Yetkisiz erişimi veya sunucu yapılandırmalarındaki değişiklikleri tespit etmek için sık denetimler yapın.
  • Güçlü Kimlik Doğrulama: Web ile ilgili tüm erişim noktaları için güçlü şifrelerin kullanıldığından emin olun ve çok faktörlü kimlik doğrulamayı düşünün.
  • Güncel yazılım: Bilinen güvenlik açıklarının kullanılmasını önlemek için işletim sistemlerini, web sunucularını ve güvenlik yazılımlarını güncel tutun.
  • İzleme Ağ Trafiği: C2 aktivitesini gösteren şüpheli iletişim kalıplarını tespit etmek için izleme araçlarını uygulayın.

Sonuç olarak, Lazarus Grubu’nun gelişen taktikleri, bu tür sofistike tehditlere karşı uyanıklık ve proaktif savunma stratejilerine olan ihtiyacı vurgulamaktadır.

Siber rakipler yenilik yapmaya devam ettikçe, son saldırı teknikleri hakkında bilgi sahibi kalmak etkili siber güvenlik için çok önemlidir.

Bu tehditlerle ilgilenen kuruluşlar için aşağıdaki eylemler önerilmektedir:

  1. Sunucu yapılandırmalarını inceleyin gereksiz güvenlik açıklarına maruz kalmadıklarından emin olmak için.
  2. Geliştirilmiş izleme uygulayın Gerçek zamanlı anomalileri yakalamak için araçlar.
  3. Tren personeli potansiyel güvenlik olaylarını tanımak ve yanıtlamak.

Bu proaktif adımları atarak, kuruluşlar Lazarus Grubu ve benzeri siber aktörlerin ortaya koyduğu tehditlere maruz kaldıklarını önemli ölçüde azaltabilir.

Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.



Source link