Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Coğrafi Odak: Asya
Kuzey Koreli Hackerlar Meşru Yazılımdaki Bilinen Kusurları Defalarca Hedefliyor
Prajeet Nair (@prajeetspeaks) •
29 Ekim 2023
Kuzey Kore’nin devlet destekli bilgisayar korsanları, meşru yazılımlardaki bilinen güvenlik açıkları yoluyla kötü amaçlı yazılım yayıyor. Kaspersky araştırmacıları tarafından tespit edilen yeni bir kampanyada Lazarus grubu, güvenlik açıklarının rapor edildiği ve yamaların mevcut olduğu isimsiz bir yazılım ürününün bir sürümünü hedefliyor.
Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu
Dünya çapındaki kuruluşları hedef alan yeni gelişmiş kalıcı tehdit kampanyası, dijital sertifikalar kullanarak web iletişimini şifrelemek üzere tasarlanan güvenlik açıklarının raporlanmasına ve yamalanmasına rağmen, isimsiz bir yazılımın eski bir sürümündeki bilinen kusurları kullandı.
Kaspersky’ye göre Lazarus grubundaki bilgisayar korsanları, güvenlik açığı bulunan yazılımdan yararlandı ve bunu kuruluşları hacklemek ve dijital sertifikalar kullanarak web iletişimini şifrelemek için bir giriş noktası olarak kullandı.
Google’ın Mandiant tehdit istihbarat grubu tarafından hazırlanan bir rapora göre Kuzey Kore, “gücünü yansıtmak ve hem siber hem de kinetik yeteneklerini finanse etmek için hem casusluk hem de mali suç işlemek için siber saldırıları” kullanıyor. Lider Kim Jong-Un yönetimindeki Kuzey Kore, yurtiçinde ve yurtdışında müttefikler, düşmanlar ve sığınmacılar hakkında istihbarat toplayan, bankaları hackleyen ve kripto para birimini çalan bir dizi devlet destekli bilgisayar korsanlığı ekibiyle bağlantılıdır.
Birleşmiş Milletler daha önce Kuzey Kore’yi çalınan fonları ülkenin uzun menzilli füze ve nükleer silah programlarını finanse etmek ve ülke yöneticilerini zenginleştirmek için kullanmakla suçlamıştı.
Bilgisayar korsanları, kurbanı kontrol etmek için bir “SIGNBT” kötü amaçlı yazılımını konuşlandırdı ve daha önce savunma yüklenicilerini, nükleer mühendisleri ve kripto para birimi sektörünü ve kötü şöhretli 3CX tedarik zinciri saldırısında bulunan araştırmacıları hedef aldığı görülen iyi bilinen LPEClient aracını uyguladı.
Araştırmacılar, “Bu kötü amaçlı yazılım, bulaşmanın başlangıç noktası olarak hareket ediyor ve kurbanın profilini çıkarmada ve yükü teslim etmede çok önemli bir rol oynuyor” dedi.
Kaspersky, isimsiz yazılımın geliştiricilerinin daha önce birkaç kez Lazarus’un kurbanı olduğunu söyledi. Tekrarlanan bu ihlal, değerli kaynak kodunu çalmak veya yazılım tedarik zincirine müdahale etmek gibi muhtemel bir hedefi olan ısrarcı ve kararlı bir tehdit aktörünün varlığına işaret ediyordu.
Kaspersky’nin baş güvenlik araştırmacısı Seongsu Park, Lazarus grubunun devam eden faaliyetinin gelişmiş yeteneklerinin ve sarsılmaz motivasyonunun bir kanıtı olduğunu söyledi.
Park, “Küresel ölçekte faaliyet gösteriyorlar ve çok çeşitli yöntemleri kullanarak çok çeşitli endüstrileri hedef alıyorlar. Bu, daha fazla dikkat gerektiren, devam eden ve gelişen bir tehdide işaret ediyor” dedi.
Kötü Amaçlı Yazılım Analizi
Kaspersky araştırmacıları, temmuz ayı ortasında, güvenlik açığı bulunan yazılımı kullanan çok sayıda kurbana yönelik bir dizi saldırı tespit ettiklerini ve meşru yazılımın süreçlerinde istismar sonrası faaliyet tespit ettiklerini söyledi.
Araştırmacılar, “Bir keresinde, kurbanın sistemindeki ele geçirilen güvenlik yazılımının hafızasını incelerken, bir kabuk koduyla birlikte SIGNBT kötü amaçlı yazılımının varlığını keşfettik. Bu kabuk kodu, Windows yürütülebilir dosyasının doğrudan bellekte başlatılmasından sorumluydu” dedi.
Tehdit aktörü, güvenliği ihlal edilmiş sistemlerde kalıcılık sağlamak ve sürdürmek için, her sistem önyüklemesinde spoolsv.exe işlemi tarafından otomatik olarak yüklenen, sistem klasöründe ualapi.dll adlı bir dosyanın oluşturulması da dahil olmak üzere çeşitli taktikler kullandı.
Araştırmacılar, Lazarus bilgisayar korsanlarının ayrıca kötü amaçlı yükleme amacıyla yasal dosyaları yürütmek için kayıt defteri girişleri yaptığını ve böylece dayanıklı bir kalıcılık mekanizması sağladığını söyledi.
Araştırmacılar, ele geçirme amaçlı spoolsv.exe işleminin Lazarus için uzun süredir devam eden bir strateji olduğunu söyledi. Bu, her yeniden başlatma sonrasında daha önce Gopuram kötü amaçlı yazılımı tarafından kullanılan bir ualapi.dll dosyasını yükler.
Araştırmacılar, “Kötü amaçlı ualapi.dll dosyası, Shareaza Torrent Sihirbazı olarak bilinen genel kaynak kodu kullanılarak geliştirildi. Bu dosya, genel kaynak kodunu temel olarak kullanan ve ona belirli kötü amaçlı işlevler enjekte eden tipik bir Lazarus grubu yaklaşımını takip ediyor” dedi.
Lazarus, bu kötü amaçlı yazılım yükleyiciyi kullanarak, kurban makinelere LPEClient gibi araçlar ve kimlik bilgileri boşaltma yardımcı programları da dahil olmak üzere ek kötü amaçlı yazılımlar da dağıttı. Araç, kurban bilgilerinin toplanmasına ve bellekte çalıştırılmak üzere uzak bir sunucudan ek yüklerin indirilmesine yardımcı olur.
Araştırmacıların daha önce de belirttiği gibi, araştırmacılar artık kullanıcı modu sistem çağrısını devre dışı bırakmak ve sistem kitaplığı bellek bölümlerini geri yüklemek gibi gizliliğini geliştirmek ve tespit edilmekten kaçınmak için gelişmiş teknikler kullandığını söyledi.