Lazarus Hacker’ları Pylangghost Rat’ı dağıtmak için sahte kamera/mikrofon uyarıları kullanıyor


Lazarus Grubu ile ilişkili Kuzey Kore devlet destekli tehdit aktörleri, özellikle ünlü Chollima olarak bilinen alt grup, Python merkezli yeni bir uzaktan erişim Trojan (sıçan) olarak adlandırarak taktiklerini geliştirdi.

Bu kötü amaçlı yazılım, GO benzeri mantık desenleri ve kapsamlı yorumlanan bölümler de dahil olmak üzere AI destekli taşınmayı gösteren kod yapıları sergileyen önceki Golangghost sıçanının yeniden uygulanmasını temsil eder.

Pirated yazılım veya USB sürücüleri aracılığıyla geleneksel kötü amaçlı yazılımların yayılmasının aksine, Pylangghost Rat, öncelikle teknoloji, finans ve kripto para sektörlerindeki geliştiricilere ve yöneticilere yönelik yüksek hedefli “ClickFix” sosyal mühendislik kampanyalarından yararlanır.

Hedeflenen saldırılarda sosyal mühendislik

Bu işlemlerde, rakipler sahte iş görüşmelerini veya iş çağrılarını düzenleyerek kamerayı veya mikrofon erişimini engelleyen tarayıcı hatalarını simüle eder.

Pylanggghost Sıçan
Sahte bir görüşme süreci.

Any.Run raporuna göre, kurbanlardan gerçekte uzak operatörlere tam sistem kontrolü sağlayan iddia edilen bir düzeltme komut dosyası yürütmeleri istenir.

Bu teknik yakın zamanda AAVE DEFI protokolü için simüle edilmiş bir işe alım sırasında karşılaşan Blockosint’ten araştırmacı Heiner García Pérez tarafından belgelenmiştir.

Saldırı, kullanıcıya kötü amaçlı yükleri indiren ve yürüten bir komutu çalıştırmasını talimat veren “Windows Camera Discovery önbelleğinde yarış koşulu” gibi aldatıcı bir hata mesajı ile başlar.

Dağıtım mekanizması, şüpheli bir alandan bir zip dosyası getirmeyi, PowerShell’in genişletme arkalızı aracılığıyla çıkarılmasını ve lib.zip’te paketlenmiş temiz bir piton ortamını açan bir VBScript (update.vbs) başlatan bir kıvrılma komutunu içerir.

Pylanggghost Sıçan
update.vbs içeriği

Bu ortam, NVIDIA.PY LOADER’ı çalıştıran CSSHOST.EXE olarak yeniden adlandırılmış bir Python.exe içerir.

Kötü amaçlı yazılımın modüler mimarisi, komut kodlarını, C2 sunucularını ve Metamask ve Phantom gibi hedeflenen krom uzantıları tanımlamak için config.py içerir; RC4 şifreli paket yapısı için API.PY ve TLS olmayan http üzerinden MD5 sağlama toplamları; ve Command.py Sistem keşfi, dosya yüklemeleri/indirme, ters kabuklar ve kimlik bilgisi eksfiltrasyonu dahil olmak üzere talimatları göndermek için.

Yardımcı Modüller Util.

İş etkileri

Pylangghost Rat, kayıt defteri anahtarları ve. Store Mutex dosyası aracılığıyla kalıcılık oluşturur, tek-kurumun yürütülmesini sağlar ve zayıf RC4/MD5 şaşkınlığı olan ham IP adreslerini kullanarak C2 altyapısı ile iletişim kurar.

Tarayıcı profillerini cold.tar.gz arşivlerine sıkıştıran ve sunan otomatik hırsızlık modlarını sistem bilgilerini, dosya işlemlerini, terminal oturumlarını ve otomatik hırsızlık modlarını toplamak için komutları destekler.

Kimlik bilgisi boşaltma için, LSASS.exe’yi sistem ayrıcalıkları kazanması için taklit eder, Chrome’un yerel durumundan AES-GCM bloblarını çözer ve CNG API kaydı ile hem V10 DPAPI anahtarlarını hem de V20 uygulamaya bağlı varyantları kullanır.

Davranışsal analiz, ilk virustotal skorlar düşük kalsa da, kum havuzlarında yüksek güven işaretlemesi ile zıt olsa da, varsayılan Python-Requests kullanıcı ajanlarını ve hızlı C2 isteklerini algılama göstergeleri olarak ortaya koymaktadır.

Bu sıçanın TTP’leri, t1036 maskelenmesi, T1059 komut dosyası tercümanları, T1083 dosya keşfi ve T1012 kayıt defteri sorguları dahil, cüzdan uzlaşmaları, veri ihlalleri, operasyonel bozulmalar ve düzenleyici cezalar gibi ciddi riskler gibi hizalanmıştır.

Savunmalar, erken tespit için davranışa dayalı kum havuzlarını, doğrulanmamış komutlara karşı çalışan eğitimi, ayrıcalık kısıtlamaları, anormal trafik izleme ve tarayıcı sertleştirme için vurgulanır.

Uzlaşma Göstergesi (IOCS)

IOC Türü Değer
İhtisas 360[.]mağaza
IPv4 13[.]107.246[.]45
IPv4 151[.]243.101[.]229
Url HTTPS[:]// 360scanner[.]Mağaza/CAM-V-B74SI.FIX
Url HTTP[:]// 151[.]243[.]101[.]229[:]8080/
SHA256 (Auto.py.bin) bb794019f8a6396e4a16063dc785fafe8a5f7c7553bcd3da661c7054c6674c7
SHA256 (command.py.bin) C4fd45bb8c33a5b0fa5189306b65fa3db53a53c1092078ec62f3fc19bc05dcb
SHA256 (config.py.bin) C7ecf8be40c1e9a9a9a8c3d148eb2ae2c0c64119ab46f51f603a00b812a7be3b45
SHA256 (nvidia.py.bin) a179caf1b7d293f7c14021b80deeecd2b42bd409e052da767e0d383f71625940
SHA256 (util.py.bin) EF04A839F6011A5DF2408AEBD6D9AF43229D95B4814132E589F178005C72F
Dosya adı chrome_logins_dump.txt
Dosya adı cold.tar.gz
Muteks .mağaza

The Ultimate SOC-as-a-Service Pricing Guide for 2025Ücretsiz indir



Source link