Kuzey Kore destekli grup Lazarus’un, Log4Shell güvenlik açığından (CVE-2021-44228) ve DLang’da (yani bellek açısından güvenli D programlama dili) yazılmış yeni kötü amaçlı yazılımlardan yararlandığı tespit edildi.
“Bu kampanya, savunmasız altyapılarını kamuya açık bir şekilde barındıran ve CVE-2021-44228 gibi n-günlük güvenlik açığı istismarına maruz bırakan kuruluşların küresel olarak fırsatçı bir şekilde hedef alınmasından oluşuyor. Cisco Talos araştırmacıları, Lazarus’un üretim, tarım ve fiziksel güvenlik şirketlerini hedef aldığını gözlemledik.
Log4Shell hala kapıları açıyor
Log4Shell, Kasım 2021’in sonlarında keşfedilen ve özel olarak ifşa edilen, 6 Aralık’ta yama uygulanan ve saldırganlar tarafından hızla istismar edilmeye başlanan, popüler ve yaygın olarak kullanılan bir Java günlük kitaplığı olan Apache Log4j’deki kritik bir uzaktan kod yürütme (RCE) güvenlik açığıdır.
Veracode’a göre, iki yıl sonra uygulamaların yüzde 38’i hala Log4j’nin savunmasız bir sürümünü kullanıyor.
Yeni DLang tabanlı kötü amaçlı yazılımların dağıtılması
Cisco Talos tarafından “Demirci Operasyonu” olarak adlandırılan saldırı, tehdit aktörlerinin halka açık VMWare Horizon sunucularında Log4Shell güvenlik açığından yararlanarak ilk erişim elde etmesiyle başladı.
Başarılı bir güvenlik açığından yararlanmanın ardından saldırganlar kapsamlı bir keşif gerçekleştirdi ve son olarak işletim sistemi kimlik bilgilerini boşalttı.
Daha sonra sürekli erişim elde etmek, yeni bir yerel kullanıcı hesabı oluşturmak ve kimlik bilgisi döküm araçlarını (ProcDump, MimiKatz) ve ayrıca adı verilen yeni bir DLang tabanlı uzaktan erişim truva atını (RAT) indirmek için özel yapım bir proxy aracı olan HazyLoad’u kullandılar. NineRAT, ilk kez Mart 2023’te bir kampanyada görüldü.
NineRAT, komut ve kontrol (C2) iletişimi, dosya aktarımı ve tespitten kaçınmak için Telegram’ı kullanıyor. Ayrıca kalıcılık kazanmak ve ek ikili dosyaları yürütmek için bir damlalık ikili dosyası kullanır.
Demirci Operasyonu’nda enfeksiyon zinciri gözlemlendi. (Kaynak: Cisco Talos)
Araştırmacılar ayrıca bu kampanyada Lazarus tarafından kullanılan iki DLang tabanlı kötü amaçlı yazılım ailesi daha keşfetti:
- DLRAT, saldırganların sistemi keşfetmesine, ek kötü amaçlı yazılım dağıtmasına, C2 komutlarını almasına ve bunları uç noktalarda yürütmesine olanak tanıyan bir RAT ve indiricidir.
- BottomLoader, uzak bir ana bilgisayardan HAzyLoad gibi yükleri alan ve yürüten “basitçe bir indiricidir”
Kuzey Koreli hackerlar taktik değiştiriyor
Geçtiğimiz bir buçuk yılda, Kuzey Koreli tehdit aktörleri kötü amaçlı yazılım yazmak için alışılmadık teknolojiler kullanmaya başladı: DLang, Qt Framework ve PowerBasic.
Talos araştırmacıları, bunlar ile Onyx Sleet (diğer adıyla PLUTONIUM veya Andariel) adlı Kuzey Kore destekli bir bilgisayar korsanlığı grubunun Ekim 2023’te gerçekleştirdiği saldırılar arasında benzerlikler buldu.
“Talos, diğer araştırmacıların Lazarus APT’nin esasen Kuzey Kore’nin savunma, politika, ulusal güvenlik ve araştırma ve geliştirme alanlarındaki farklı hedeflerini destekleyen alt grupların bir şemsiyesi olduğu yönündeki değerlendirmesine katılıyor. Cisco Talos araştırmacıları, her alt grubun kendi kampanyalarını yürüttüğünü ve hedeflerine karşı özel kötü amaçlı yazılımlar geliştirip dağıttığını, bunun tam bir koordinasyon içinde çalışması gerekmediğini söyledi.
“Andariel’e genellikle Kuzey Kore hükümetinin çıkarlarını desteklemek amacıyla ilk erişim, keşif ve casusluk için uzun vadeli erişim kurma görevi veriliyor. Bazı durumlarda Andariel, sağlık kuruluşlarına yönelik fidye yazılımı saldırıları da gerçekleştirdi.”