Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Yönetişim ve Risk Yönetimi
Kuzey Koreli Hackerlar Yeni Kötü Amaçlı Yazılım Ailelerini Yayıyor
Prajeet Nair (@prajeetspeaks) •
12 Aralık 2023
Kuzey Koreli bilgisayar korsanlığı grubu Lazarus Group, üretim, tarım ve fiziksel güvenlik sektörlerini hedeflemek için Log4Shell’den yararlanıyor ve bunun sonucunda tehlikeye atılmış sistemlere özel bir implant yerleştiriliyor.
Ayrıca bakınız: CISO’ların Krizi Atlatmalarına Yönelik 10 Kemer Sıkma İpucu
Cisco Talos araştırmacıları, bu saldırı kampanyasının genel erişime açık VMware Horizon sunucularını hedef aldığını ve ilk erişim için CVE-2021-44228 olarak takip edilen Log4Shell güvenlik açığından yararlandığını buldu.
“Demirci Operasyonu” olarak adlandırılan kötü amaçlı yazılım kampanyası, DLang programlama dilini temel alan üç yeni kötü amaçlı yazılım ailesini kullanıyor. Bunlardan ikisi uzaktan erişim Truva atları olarak işlev görüyor, diğeri ise komuta ve kontrol iletişimi için Telegram botlarından ve kanallarından yararlanıyor.
Araştırmacılar, Telegram tabanlı RAT’a “NineRAT” ve Telegram olmayan türevine “DLRAT” adını verdiler. Üçüncü bileşen, operasyonun sonraki aşamalarında ek yükleri almak için tasarlanmış “BottomLoader” adı verilen DLang tabanlı bir indiricidir.
Araştırmacılar, istismarın Microsoft’un Ekim ayı açıklamasıyla örtüştüğünü ve etkinliğin Andariel olarak da bilinen Lazarus Group alt grubu Onyx Sleet ile bağlantılı olduğunu söyledi. Alt grup, Güney Koreli kuruluşlardan 1,2 terabaytlık veri çaldı ve üç şirketten zorla yaklaşık 357.000 dolar bitcoin aldı (bkz.: Kuzey Koreli Hackerlar Güney Kore’nin Uçaksavar Verilerini Çaldı).
Mevcut kampanyada araştırmacılar, daha önce yalnızca Microsoft tarafından tespit edilen özel yapım bir proxy aracı olan HazyLoad’un kullanımını da gözlemledi. Mayıs ayı itibariyle Cisco Talos, HazyLoad’un bir Avrupalı şirkete ve Güney Koreli bir fiziksel güvenlik ve gözetim firmasının Amerika’daki yan kuruluşuna uygulandığını görmüştü.
NineRAT, komutlar, iletişim ve dosya aktarımları için komut ve kontrol kanalı olarak Telegram’ı kullanıyor. Araştırmacılar, Lazarus Group tarafından kullanılan bu yöntemin, iletişim için meşru bir hizmetten yararlanarak ağ ve ana bilgisayar tabanlı tespit önlemlerine bir kaçınma katmanı eklediğini söyledi.
Kötü amaçlı yazılım, adı verilen bir alet de dahil olmak üzere üç bileşenli bir damlalıktan oluşur. nsIookup.exe ve modüler enfeksiyon zincirleri için sıklıkla kullanılan bir kalıcılık mekanizması.
Kalıcılık kurulumu şunları içerir: bat İlk bileşen için bir hizmet oluşturan komut dosyası. NineRAT etkinleştirildiğinde, virüs bulaşmış ana bilgisayarla birincil etkileşim yöntemi haline gelir ve HazyLoad gibi eski arka kapı mekanizmaları varlığını sürdürerek Lazarus’a yedek erişim noktaları sağlar.
NineRAT’ın Telegram ile etkileşimi, kimlik doğrulamayı test eden ve belge yükleme ve indirme işlevlerini etkinleştiren DLang tabanlı kitaplıkları içerir. Daha ileri araştırmalar, iki ek DLang tabanlı kötü amaçlı yazılım ailesini ortaya çıkardı: Uzak bir ana bilgisayardan yükleri yürüten bir indirici olan BottomLoader ve ek kötü amaçlı yazılımları dağıtmak ve virüslü uç noktalarda C2 komutlarını yürütmek için bir indirici ve RAT olan DLRAT.
Kötü amaçlı yazılım, bir bilgisayar sistemini keşfetmek için yerleşik komutlara sahiptir ve işletim sistemi sürümü, kötü amaçlı yazılımı kullanan kullanıcı ve ağdaki sistemi tanımlamak için MAC adresi gibi sistemle ilgili ilk ayrıntıları toplamak için komutları çalıştırarak başlar.
İlk eylem kümesinden sonra, adlı bir dosya oluşturur. SynUnst.ini aynı klasörde. Kontrol sunucusuna sinyaller gönderdikten sonra RAT, toplanan bilgileri ve belirli oturum ayrıntılarını çok parçalı bir formatta paylaşır.
Komuta ve kontrol sunucusunun yanıtı yalnızca virüslü sistemin harici IP adresini içerir. Kötü amaçlı yazılım, C2 sunucularındaki belirli komut kodlarını/adlarını tanır ve bu kodlar, ele geçirilen sistemde ilgili eylemleri tetikler.