Kuzey Kore bağlantılı kötü şöhretli tehdit aktörü Lazarus Grubu daha önce belgelenmemiş uzaktan erişim truva atlarını (RAT’lar) güvenliği ihlal edilmiş ana bilgisayarlara dağıtmak için Log4j’deki güvenlik kusurlarının fırsatçı bir şekilde istismar edilmesini içeren yeni bir küresel kampanyaya atfedildi.
Cisco Talos, etkinliği Demirci Operasyonu adı altında izliyor ve aralarında komuta ve kontrol (C2) için Telegram’dan yararlanan NineRAT adlı bir RAT, DLRAT ve BottomLoader adlı bir indiricinin de bulunduğu üç DLang tabanlı kötü amaçlı yazılım ailesinin kullanıldığına dikkat çekiyor.
Siber güvenlik firması, düşmanın en son taktiklerini kesin bir değişim olarak tanımladı ve bunların, Lazarus şemsiyesi içindeki bir alt grup olan Andariel (diğer adıyla Onyx Sleet veya Silent Chollima) olarak geniş çapta takip edilen kümeyle örtüştüğünü belirtti.
Talos araştırmacıları Jung soo An, Asheer Malhotra ve Vitor Ventura, The Hacker News ile paylaşılan teknik bir raporda “Andariel’in görevi genellikle Kuzey Kore hükümetinin ulusal çıkarlarını desteklemek amacıyla ilk erişim, keşif ve casusluk için uzun vadeli erişim oluşturmaktır.” dedi. .
Saldırı zincirleri, NineRAT sunmak için CVE-2021-44228’in (diğer adıyla Log4Shell) kamuya açık VMWare Horizon sunucularına karşı kullanılmasını içerir. Hedeflenen öne çıkan sektörlerden bazıları imalat, tarım ve fiziksel güvenliği içermektedir.
Kodu Kırmak: Siber Saldırganların İnsan Psikolojisinden Nasıl Yararlandığını Öğrenin
Sosyal mühendisliğin neden bu kadar etkili olduğunu hiç merak ettiniz mi? Yaklaşan web seminerimizde siber saldırganların psikolojisinin derinliklerine dalın.
Şimdi Katıl
Veracode’a göre, uygulamaların yüzde 2,8’inin hâlâ kütüphanenin savunmasız sürümlerini (2.0-beta9’dan 2.15.0’a kadar) kullandığı ve Veracode’a göre diğer yüzde 3,8’inin Log4j kullandığı göz önüne alındığında Log4Shell’in kötüye kullanılması şaşırtıcı değil. 2.17.0, CVE-2021-44228’e karşı savunmasız olmasa da CVE-2021-44832’ye karşı hassastır.
İlk olarak Mayıs 2022 civarında geliştirilen NineRAT’ın, Mart 2023 gibi erken bir tarihte Güney Amerika’daki bir tarım kuruluşuna ve ardından Eylül 2023’te bir Avrupa imalat kuruluşuna yönelik bir saldırıda kullanılmaya başlandığı söyleniyor. C2 iletişimleri için meşru bir mesajlaşma hizmeti kullanmanın amacı, tespit edilmekten kaçınmaktır.
Kötü amaçlı yazılım, virüslü uç noktayla etkileşimin birincil yolu olarak hareket ederek saldırganların sistem bilgilerini toplamak için komutlar göndermesine, ilgilenilen dosyaları yüklemesine, ek dosyalar indirmesine ve hatta kendisini kaldırıp yükseltmesine olanak tanır.
Araştırmacılar, “NineRAT etkinleştirildiğinde, virüslü sistemlerin parmak izini tekrar almak için telgraf tabanlı C2 kanalından ön komutları kabul ediyor” dedi.
“Enfekte olmuş sistemlerin yeniden parmak izi alınması, Lazarus tarafından NineRAT aracılığıyla toplanan verilerin diğer APT grupları tarafından paylaşılabileceğini ve esas olarak Lazarus tarafından ilk erişim ve implant yerleştirme aşamasında toplanan parmak izi verilerinden farklı bir depoda bulunduğunu gösteriyor.”
İlk keşif sonrasındaki saldırılarda ayrıca, JetBrains TeamCity’deki kritik güvenlik kusurlarını silah haline getiren izinsiz girişlerin bir parçası olarak tehdit aktörü tarafından kullanıldığı Microsoft tarafından daha önce tanımlanan HazyLoad adlı özel bir proxy aracı da kullanıldı (CVE-2023-42793, CVSS puanı: 9,8) . HazyLoad, BottomLoader adı verilen başka bir kötü amaçlı yazılım aracılığıyla indirilir ve çalıştırılır.
Ayrıca, Demirci Operasyonu’nun, hem bir indirici hem de sistem keşfi gerçekleştirmek, ek kötü amaçlı yazılım dağıtmak ve C2’den komutlar almak ve bunları tehlikeye atılmış sistemlerde yürütmek için donatılmış bir RAT olan DLRAT’yi sağladığı gözlemlendi.
Araştırmacılar, “Örtüşen arka kapı girişi sağlayan birden fazla araç, Lazarus Group’a, bir aracın keşfedilmesi durumunda fazlalıklar sunarak, oldukça kalıcı erişim sağlıyor” dedi.
Açıklama, AhnLab Güvenlik Acil Durum Müdahale Merkezi’nin (ASEC), Kimsuky’nin Amadey ve RftRAT gibi kötü amaçlı yazılımların AutoIt sürümlerini kullanması ve bunları güvenlik ürünlerini atlatmak amacıyla bubi tuzaklı ekler ve bağlantılar içeren hedef odaklı kimlik avı saldırıları yoluyla dağıtması hakkında ayrıntılı bilgi vermesiyle geldi.
APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (önceden Thallium), Nickel Kimball ve Velvet Chollima isimleriyle de bilinen Kimusky, aynı zamanda Lazarus Grubuna da ev sahipliği yapan Kuzey Kore’nin Keşif Genel Bürosu (RGB) altında faaliyet gösteren bir unsurdur.
Rejimin stratejik hedeflerini destekleyecek istihbarat toplaması nedeniyle 30 Kasım 2023’te ABD Hazine Bakanlığı tarafından onaylandı.
ASEC geçen hafta yayınlanan bir analizde, “Kimsuky grubu, virüs bulaşmış sistemin kontrolünü ele geçirdikten sonra bilgi sızdırmak için web tarayıcılarından hesapları ve çerezleri çıkarmaya yönelik tuş kaydediciler ve araçlar gibi çeşitli kötü amaçlı yazılımlar yüklüyor.” dedi.