Lazarus tehdit oyuncusunun sofistike bir alt grubu son aylarda ortaya çıktı ve tehlikeye atılan finansal ve kripto para birimi kuruluşlarına üç farklı uzaktan erişim truva atı (sıçanlar) kullandı.
İlk erişim öncelikle, saldırganların tanınmış ticaret firmalarının meşru çalışanlarını taklit ettiği telgraf üzerine özel sosyal mühendislik kampanyaları aracılığıyla gerçekleştirilmiştir.
Mağdurlar, şüpheli bir krom sıfır gün istismarının, kurbanın makinesinde sessiz kod yürütülmesini kolaylaştırdığı sahte Calendly ve Picktime portalları gibi toplantı web sitelerine karşı koyuluyor.
Ağın içine girdikten sonra, saldırganlar hemen Pondrat’ı birinci aşama yükleyici olarak dağıtıyor ve ardından sadece bellekte çalışan daha gizli Themeforestrat.
Birkaç ay süren keşif ve yanal hareketten sonra, Lazarus alt grubu daha önceki eserleri temizler ve uzun süreli erişimi sağlamlaştırmak için daha gelişmiş remotepe sıçanını kurar.
FOX-IT ve NCC Group analistleri, bu enfeksiyon zincirinin hızının ve hassasiyetinin aktörün gelişmiş yeteneklerinin altını çizdiğini ve hem özel hem de halka açık takımlara derinlemesine aşinaların altını çizdiğini belirtti.
Bu kampanyanın etkisi, basit kimlik hedefi hırsızlığının ötesine uzanıyor: Sıçan üçlüsü dosya manipülasyonu, kabuk kodu enjeksiyonu, RDP oturum izleme ve güvenli dosya eksfiltrasyonu sağlar.
Merkezi olmayan finans alanındaki kuruluşlar (DEFI) önemli aksamalar bildirmiştir, gizli geri dönüşler sürekli veri hasatına izin verir ve sonraki tedarik zinciri müdahaleleri için fırsatçı yan pivotlar.
Lazarus faaliyeti hakkında yaygın farkındalığa rağmen, bu alt grubun yeni kötü amaçlı yazılım aileleri ve şüpheli sıfır gün istismarları birçok savunucuyu hazırlıksız yakaladı.
Aciliyet ekleyerek, grubun rafine operasyonel güvenliği, özel yükleyicileri Windows Phantom DLL kaçırma ve DPAPI şifrelemesiyle harmanlama yeteneği gösterir.
.webp)
Analistler, perfhloader’ın Pondrat veya selefi Poolrat’ı sürekli olarak yürütmek için Phantom DLL yükleme yoluyla SessionenV hizmetini kötüye kullandığını belirledi.
.webp)
Yükleyici, bellek içi yürütülmeden önce yuvarlanan bir xor şifresini kullanarak opak bir yük dosyasını (örneğin, perfh011.dat) şifresini çözer.
Aşağıda üç sıçandan da bahsettik:-
- Pondra
- Themeforestrat
- Rahip
Enfeksiyon mekanizması: haddeleme xor şifre çözme ve bellek içi yürütme
Lazarus enfeksiyon mekanizmasındaki kritik bir unsur, şifreli yüklerin doğrudan işlem belleğine şifre çözme ve yüklenmesinde yatmaktadır.
Hafif bir özel yükleyici olan perfloader, %SystemRoot%\System32\ ve haddeleme bir xor algoritması aracılığıyla şifrelenmiş görünüşte zararsız bir DLL dosyası okur.
.webp)
Aşağıdaki Python takma kodu, her işlenmiş bayt ile anahtarını sürekli olarak mutasyon yapan bu şifreyi göstermektedir:
def crypt_buf(data: bytes) -> bytes:
xor_key = bytearray(range(0x10))
buf = bytearray(data)
for idx in range(len(buf)):
a = xor_key[(idx + 5) & 0xF]
b = xor_key[(idx - 3) & 0xF]
c = xor_key[(idx - 7) & 0xF]
xor_byte = a ^ b ^ c
buf[idx] ^= xor_byte
xor_key[idx & 0xF] = xor_byte
return bytes(buf)Bu sürekli gelişen XOR tuşunu kullanarak, yükleyici imza tabanlı algılamayı ve yükünün adli oymalarını engeller.
Kazanmadan sonra, perfloader, diske yürütülebilir dosyalar yazmadan belleye enjekte etmek için açık kaynaklı manuel bir DLL yükleyiciden yararlanır ve gizli keşif ve veri söndürme işlemlerini sağlar.
Bu bellek içi yürütme stratejisi, ilk uzlaşma için şüpheli bir krom sıfır gün ile birleştiğinde, tehdit oyuncunun sofistike olduğunu vurgular ve siber güvenlik profesyonelleri arasındaki artan uyanıklığı haklı çıkarır.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.