Son iki yılda, FOX-IT ve NCC Group, finansal ve kripto para firmalarını hedefleyen sofistike bir Lazarus alt grubunu izledi.
Bu aktör, Applejeus, Citrine Squet, UNC4736 ve Pırıltılı Balık kampanyalarıyla örtüşüyor ve üç farklı uzaktan erişim Trojanları (sıçan) – Pondrat, Themorestrat ve Remotepe – tehlikeye atılmış sistemleri sızmak ve kontrol etmek için kullanıyor.
2024 olay tepkisi durumunda, grup ileri taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) gösteren çok aşamalı bir müdahale gerçekleştirdi.
2014’ün ortalarında, merkezi olmayan bir finans firmasındaki bir çalışan, bir meslektaşını taklit eden ve sahte bir toplantı sitesine yönlendirilen bir saldırgan tarafından telgraf konuşmasına çekildi.
Kısa bir süre sonra Pondrat, kurbanın Windows makinesine konuşlandırıldı. Adli tıp, uç nokta günlüğünde ani bir düşüş, şüpheli bir krom sıfır gün istismarı ile tutarlı olarak-algılama olmadan kod yürütmeyi etkinleştiren ani bir düşüş gösterdi.
Önümüzdeki üç ay boyunca aktör, özel araçlar (ekran görüntüsü, keylogger ve tarayıcı dumanı) ve Mimikatz ve Hızlı Ters Proxy istemcisi gibi kamu hizmetleri ile birlikte Pondrat kullanarak kimlik bilgilerini ve ağ topoloji verilerini hasat etti.
Keşiften sonra aktör Pondrat ve Themeforestrat eserlerini çıkardı ve yüksek değerli hedefler için daha derin erişimi sürdürecek olan Remotepe adlı daha gelişmiş bir sıçan kurdu.
Saldırı zinciri dört aşamadan oluşuyordu: sosyal mühendislik, sömürü, keşif ve sonraki aşama dağıtım.
Pondrat: Poolrat soylu bir “ilk yükleyici”
MacOS örneklerinde “FirstLoader” olarak adlandırılan Pondrat, 2021’de ortaya çıktı ve Applejeus ve Pypi tabanlı dağıtım kampanyalarına bağlandı.
HTTPS üzerinden sabit kodlanmış bir C2 ile iletişim kurar ve mesajları XOR ile ve ardından Base64 ile kodlar. Komutlar dosya G/Ç ve işlem yürütme işleminden bellek içi PE yükleme ve kabuk kodu enjeksiyonuna kadar değişir.
Pondrat, eski Poolrat/SimpleTea ailesi ile çok sayıda benzerlik paylaşır: özdeş XOR anahtarları, işlev adları ve durum kodu birleştirmesi, ayrıca geçici dosyaların üzerine yazılan ve yeniden adlandıran tuhaf bir bot-ID üretim şeması ve güvenli bir dosya rutini.
Poolrat’ın aksine, Pondrat, muhtemelen hafif bir yükleyici olarak rolünü yansıtan zamanlama ve C2 yapılandırma dosyalarından yoksundur.
Themeforestrat, en az altı yıllık kullanıma rağmen kamu analizinden kaçınmıştır. Bellekte yüklü-genellikle pondrat yoluyla-güvenli dosya silme, zamanlama, RDP tarafından tetiklenen geri arama ve işlem içi kabuk kodu enjeksiyonu dahil olmak üzere yirmiden fazla komutu destekler.
Windows’ta iki iş parçacığını ortaya çıkarır: bir (eski) geçici bir Z802056 klasörü ve başka bir izleme konsolu ve RDP oturumları oluşturmak isteğe bağlı olarak yapılandırılmış komutları yürütmek için. Yapılandırma netraid.inf (43 kb rc4 şifreli) içinde saklanır ve C2 URL’lerini, kış uykusunu aralıklarını ve isteğe bağlı konsol komutlarını tanımlar.
C2 protokolü, “Themeforest_” ve “Thumb_” ile ön eklenmiş HTTP (S) dosya transferleri kullanır. Themeforestrat, 2013’ün Romeogolf Rat-iki sinyal iş parçacığı, yapılandırma dosyası zamanlama ve benzersiz ID rutinleri-Lazarus içindeki kalıtımı destekleyen temel tasarım özelliklerini paylaşıyor.
Yeni ekli mantıksal sürücülerden verileri algılama ve kopyalama işlevi, geçici dizin oluşturmayı sağlam bırakırken Themeforestrat’ta kaldırıldı.
Remotepe: Gelişmiş Sonraki Aşama
Çevresel temeli sabitlendikten sonra, aktör daha basit sıçanlarını remotepe için değiştirdi. Disk kurtarmaya direnen DPAPI korumalı bir yükleyici aracılığıyla erişilen RemotePe, rafine dosya yeniden yapılandırma temizleme yansıtma Pondrat’ın yöntemini de dahil olmak üzere gelişmiş operasyonel güvenliğe sahip bir C ++ tabanlı bir sıçandır.
RemotePe’nin konuşlandırılmasının kanıtı, aktörün daha sessiz, daha yetenekli bir ikinci aşamaya geçişini işaret ediyor-muhtemelen yüksek değerli kurbanlar için ayrılmış.
Bu Lazarus alt grubunun sosyal mühendislik, şüpheli sıfır gün sömürüsü ve özel sıçan zincirlerinin kalıcı kullanımı uyarlanabilirliğini ve becerikliliğinin altını çiziyor. Finansal ve kripto para birimi sektörlerindeki kuruluşlar:
- Kökkit yüklemesini gösteren ani günlüğü bırakmalarını tespit etmek için sert uç nokta telemetrisi.
- Sessionenv ve Ikeext gibi hizmetler aracılığıyla Phantom-dll yüklemesini izleyin.
- Gömülü yükleyiciler için System32’deki Anormal Windows Performans Monitör Dosyalarını (Perfh*.dat) inceleyin.
- Olağandışı “Themeforest_” veya “Thumb_” istekleri dahil olmak üzere anormal dosya transfer kalıpları için HTTP (S) trafiğini denetleyin.
- Yanal hareketi sınırlamak için çok faktörlü kimlik doğrulama ve katı ayrıcalık yönetimi benimseyin.
Pondrat, Themeforestrat ve RemotePe’nin TTP’lerini anlayarak, savunucular aktörün bir sonraki hareketlerini tahmin edebilir ve ağlarını bu kararlı tehdide karşı güçlendirebilirler.
Uzlaşma göstergeleri
| Gösterge Türü | Değer | İlişkili tehdit veya not |
|---|---|---|
| İhtisas | takviye gibi[.]canlı | Sahte calendly.com |
| İhtisas | Pickthttime[.]canlı | Sahte picktime.com |
| İhtisas | Bir kez[.]ortak | Sahte bir texhub.com |
| İhtisas | Go.oncehub[.]ortak | Sahte bir texhub.com |
| İhtisas | dpkgrepo[.]com | Potansiyel krom sömürüsü |
| İhtisas | pypilibrary[.]com | Dpkgrepo’dan sonra msiexec.exe tarafından ziyaret edildi[.]com |
| İhtisas | Pypistorage[.]com | Sessionenv Hizmet Bağlantısı |
| İhtisas | keondigital[.]com | Lpeclient Server, Seansenv bağlantısı |
| İhtisas | arcashop[.]org | Pondrat C2 |
| İhtisas | jdkgradle[.]com | Pondrat C2 |
| İhtisas | latamik[.]org | Pondrat C2 |
| İhtisas | lmaxtrd[.]com | Themeforestrat C2 |
| İhtisas | paxosfuture[.]com | Themeforestrat C2 |
| İhtisas | www[.]plexisco[.]com | Themeforestrat C2 |
| İhtisas | ftxstock[.]com | Themeforestrat C2 |
| İhtisas | www[.]Natefi[.]org | Themeforestrat C2 |
| İhtisas | Nansenpro[.]org | Themeforestrat C2 |
| İhtisas | AES-Secure[.]açık | RemotePe yükü/c2 |
| İhtisas | Azureglobalaccelerator[.]com | RemotePe yükü/c2 |
| İhtisas | Azuredeploypackages[.]açık | Enjekte edilen süreç bağlantısı |
| IP adresi | 144.172.74[.]120 | Hızlı Ters Proxy Sunucusu |
| IP adresi | 192.52.166[.]253 | Quasar kötü amaçlı yazılım parametresi |
| Dosya/Yol | % Temp% \ tmpntl.dat | Windows Keylogger çıkışı |
| Dosya/Yol | C: \ windows \ temp \ tmp01.dat | Windows Keylogger hatası |
| Dosya adı | netraid.inf | Themeforestrat Windows Config |
| Dosya/Yol | /was/crash/bardaklar | Themeforestrat Linux Config |
| Dosya/Yol | /özel/etc/imap | Themeforestrat MacOS Config |
| Dosya/Yol | /private/etc/krb5d.conf | Poolrat MacOS Konferansı (CISA 2021) |
| Dosya/Yol | /etc/apdl.cf | Poolrat Linux Config |
| Dosya/Yol | %Systemroot%\ System32 \ apdl.cf | Poolrat Windows Config |
| Dosya/Yol | /tmp/xweb_log.md | Poolrat, Pontra Linux hata günlüğü |
| Dosya adı | perfh011.dat | Perfloader şifreli yük |
| Dosya adı | hsu.dat | Sysinternals Adexplorer Çıktı (Aktör) |
| Dosya adı | pfu.dat | Sysinternals, izleyici çıkışını kullanın (aktör) |
| Dosya adı | FPC. O | Hızlı Ters Proxy Config |
| Dosya adı | fp.exe | Hızlı Ters Proxy Yürütülebilir |
| Dosya adı | tsvipsrv.dll | Hayalet Yüklü Oyuncu (Sessionenv) |
| Dosya adı | wlbsctrl.dll | Phantom-Actor tarafından yüklendi (Ikeext) |
| Dosya adı | adepfx.exe | Sysinternals Adexplorer (yasal) |
| Dosya adı | hd.exe | Sysinternals nthandle.exe (yasal) |
| Dosya adı | msnprt.exe | Proxymini Socks Proxy (Aktör) |
| Dosya/Yol | %LocalAppata%\ iconcache.log | Tarayıcı/Veri Damper, Mimikatz tabanlı |
| Dosya/Yol | /private/etc/pdpaste | MacOS Keylogger dosya yolu |
| Dosya/Yol | /private/etc/xmem | MacOS Keylogger çıkışı |
| Dosya/Yol | /private/etc/tls3 | MacOS ekran görüntüsü çıkışı |
| Dosya/Yol | %LocalAppatata%\ microsoft \ Software \ cache | Windows ekran görüntüsü çıkışı |
| Dosya/Yol | C: \ windows \ system32 \ cmui.exe | Themida dolu kuasar |
Bu tablo, hızlı tehdit referansı için her bir gösterge, tip ve ilgili kötü amaçlı veya şüpheli not sunar.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.