Kuzey Kore bağlantılı Lazarus APT’nin operatörleri, Facebook, Instagram ve WhatsApp’ın arkasındaki şirket olan Meta’nın işe alım sorumlusu kılığına girerek, geçen yıl başarılı bir hedef odaklı kimlik avı kampanyasının ardından İspanya’daki bir havacılık şirketinin ağına ilk erişimi elde etti.
Saldırının nihai hedefi siber casusluktu.
Saldırganın Meta’dan işe alım görevlisi kimliğine bürünen ilk teması (kaynak: ESET)
Sahte işe alım uzmanı, kurbanla LinkedIn profesyonel sosyal ağ platformunun bir özelliği olan LinkedIn Mesajlaşma aracılığıyla iletişime geçti ve işe alım sürecinin bir parçası olarak gerekli olduğu iddia edilen iki kodlama sorgulaması gönderdi; kurban bunları bir şirket cihazına indirip çalıştırdı.
ESET araştırması, etkilenen havacılık şirketiyle yapılan işbirliği sayesinde ilk erişim adımlarını yeniden oluşturmayı ve Lazarus tarafından kullanılan araç setini analiz etmeyi başardı. Grup birden fazla şirket çalışanını hedef aldı.
“Saldırının en endişe verici yönü, tasarımında ve işletiminde yüksek düzeyde gelişmişlik sergileyen ve önceki BlindingCan ile karşılaştırıldığında kötü amaçlı yeteneklerde önemli bir ilerlemeyi temsil eden karmaşık ve muhtemelen gelişen bir araç olan yeni tür yük LightlessCan’dır. ” diye açıklıyor keşfi yapan ESET araştırmacısı Peter Kálnai.
Lazarus, LightlessCan RAT ile analizi bozuyor
Lazarus kurbanların sistemlerine çeşitli veriler gönderdi; Bunlardan en dikkate değer olanı, LightlessCan adını verdiğimiz, daha önce herkese açık olarak belgelenmemiş ve gelişmiş bir uzaktan erişim truva atıdır (RAT). Truva atı, çok çeşitli yerel Windows komutlarının işlevlerini taklit eder ve genellikle saldırganlar tarafından kötüye kullanılır ve gürültülü konsol yürütmeleri yerine RAT’ın kendi içinde gizli yürütmeye olanak tanır. Bu stratejik değişim gizliliği geliştirerek saldırganın faaliyetlerini tespit etmeyi ve analiz etmeyi daha zorlu hale getiriyor.
Maruziyeti en aza indirmek için kullanılan diğer bir mekanizma da yürütme korkuluklarının kullanılmasıdır: Lazarus, yükün şifresinin yalnızca hedeflenen kurbanın makinesinde çözülebilmesini sağladı. Yürütme korkulukları, dağıtımı ve yürütülmesi sırasında veri yükünün bütünlüğünü ve gizliliğini korumak ve güvenlik araştırmacılarınınki gibi istenmeyen makinelerde şifre çözmeyi etkili bir şekilde önlemek için uygulanan bir dizi koruyucu protokol ve mekanizmadır.
LightlessCan, 68’e kadar farklı komutu destekliyor, ancak mevcut sürüm 1.0’da bu komutlardan yalnızca 43’ü bazı işlevlerle uygulanıyor. ESET araştırması, üç tür veri sağlayan dört farklı yürütme zinciri belirledi.
Havacılık ve uzay şirketleri, Kuzey Kore ile uyumlu APT grupları için alışılmadık bir hedef değil. Ülke, Birleşmiş Milletler Güvenlik Konseyi kararlarını ihlal eden çok sayıda gelişmiş füze testi gerçekleştirdi.