Lazarus Grubu yakın zamanda nükleer enerji gibi kritik sektörlerdeki çalışanları hedef almak için meşru iş teklifleri gibi görünen kötü amaçlı arşiv dosyalarının dağıtılmasını içeren “DreamJob Operasyonu” adı verilen karmaşık bir saldırı uyguladı.
Bu dosyalar yürütüldükten sonra bir indirici, yükleyici ve arka kapıdan oluşan çok aşamalı bir enfeksiyon zincirini açığa çıkararak tehdit aktörünün güvenliği ihlal edilmiş sistemlere kalıcı erişim sağlamasına olanak tanır ve potansiyel olarak veri hırsızlığına, casusluğa veya yıkıcı saldırılara olanak tanır.
Tedarik zinciri saldırılarıyla tanınan Lazarus, yakın tarihli bir kampanyada beceri değerlendirme arşivleri kılığında truva atı haline getirilmiş VNC yardımcı programları göndererek taktiklerini geliştirdi.
İlk uzlaşmanın ardından belirli hedeflere yönelik saldırıları yoğunlaştırdılar; bu da grubun uyum sağlama yeteneğini vurguluyor ve özellikle gelişen tehdit aktörlerine karşı dikkatli güvenlik uygulamalarına duyulan ihtiyacın altını çiziyor.
KOBİ’ler ve MSP’ler için 2024 MITRE ATT&CK Değerlendirme Sonuçları -> Ücretsiz Kılavuzu İndirin
Grup, meşru bir VNC görüntüleyici olarak gizlenmiş truva atı haline getirilmiş bir TightVNC (AmazonVNC.exe) sunmak için ISO dosyalarını (kolayca tespit edilebilir ZIP yerine) kullandı; bu, VNC yürütülebilir dosyasında depolanan indirici Ranid’in şifresini çözmek için sağlanan bir IP adresine dayalı bir XOR anahtarı oluşturdu.
Başka bir durumda Lazarus, kötü amaçlı bir vnclang.dll (MISTPEN yükleyici) ile birlikte meşru bir vncviewer.exe içeren bir ZIP arşivi kullandı. vnclang.dll, yakın zamanda keşfedilen RollMid ve yeni bir LPEClient çeşidi dahil olmak üzere ek veriler indirdi.
Lazarus grubu, yanal hareket ve yük dağıtımı için çok yönlü bir araç olarak CookieTime kötü amaçlı yazılımını kullandı. Başlangıçta CookieTime komutları doğrudan bir C2 sunucusundan alıyordu.
Ancak LPEClient, Charamel Loader, ServiceChanger ve CookiePlus’ın güncellenmiş bir sürümü dahil olmak üzere çeşitli kötü amaçlı yazılım türlerini indirip çalıştıracak şekilde gelişti.
CookieTime, kalıcılığı korumak ve tespitten kaçınmak için DLL tarafından yükleme ve hizmet yürütme gibi çeşitli yükleme tekniklerinden yararlanır.
Saldırganlar, ssh-agent gibi meşru hizmetlerden yararlanarak ve kötü amaçlı DLL’lerle DLL yandan yüklemesinden yararlanarak, gizli ve kalıcı operasyonlar sağladılar.
ServiceChanger veya Charamel Loader tarafından yüklenebilen ve ilk iletişimden sonra C2 sunucusundan ek yükler indirebilen, eklenti tabanlı yeni bir kötü amaçlı yazılım olan CookiePlus keşfedildi.
Yükler ChaCha20 ile şifrelenir ve DLL veya kabuk kodları olabilir. CookiePlus, yüklerin şifresini çözmek için anahtar olarak 32 baytlık bir veri dizisi kullanır; burada yük türü bir bayrakla belirlenir ve eğer bir DLL ise, CookiePlus onu belleğe yükleyecektir.
Eğer bu bir kabuk koduysa, CookiePlus yürütmeden önce ona yürütme izni verecektir ve yürütme sonucu daha sonra şifrelenip C2 sunucusuna geri gönderilecektir. CookiePlus, benzer işlevlere ve eklenti kullanımına dayalı olarak muhtemelen MISTPEN’in halefidir.
Secure List’e göre Lazarus grubu yakın zamanda yeni bir taktik uyguladı ve ele geçirilen WordPress sunucularını kötü niyetli faaliyetleri için C2’ler olarak kullandı.
Bu değişim, CookiePlus gibi modüler kötü amaçlı yazılımların kullanıma sunulmasıyla birleştiğinde, grubun cephaneliğini geliştirme ve güvenlik önlemlerini aşma yönünde devam eden çabalarını gösteriyor.
CookiePlus’ın bir indirici olarak işlev görme yeteneği, ek kötü amaçlı yazılımlar da dahil olmak üzere çeşitli yükleri potansiyel olarak sunabileceğinden, tehdit tespitini ve yanıtını daha da karmaşık hale getirir.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin