Microsoft’a göre Kuzey Koreli tehdit aktörleri, savunmasız sunuculara fırsatçı bir şekilde sızmak için JetBrains TeamCity’deki kritik bir güvenlik açığından aktif olarak yararlanıyor.
CVE-2023-42793’ün (CVSS puanı: 9,8) kullanılmasını içeren saldırılar, Diamond Sleet (diğer adıyla Labyrinth Chollima) ve Onyx Sleet’e (diğer adıyla Andariel veya Silent Chollima) atfedildi.
Her iki tehdit faaliyeti kümesinin de Lazarus Grubu olarak bilinen kötü şöhretli Kuzey Kore ulus devlet aktörünün parçası olduğunu belirtmekte fayda var.
Diamond Sleet tarafından kullanılan iki saldırı yolundan birinde, TeamCity sunucularının başarılı bir şekilde ele geçirilmesinin ardından, daha önce tehdit aktörü tarafından tehlikeye atılan meşru altyapıdan ForestTiger adı verilen bilinen bir implantın konuşlandırılması geliyor.
Saldırıların ikinci bir çeşidi, bir sonraki aşamayı yürütmek için DLL arama sırası ele geçirme olarak adlandırılan bir teknik aracılığıyla yüklenen kötü amaçlı bir DLL’yi (DSROLE.dll, diğer adıyla RollSling veya Version.dll veya FeedLoad) almak için ilk dayanağı kullanır. yük veya uzaktan erişim truva atı (RAT).
Microsoft, saldırganın belirli durumlarda her iki saldırı dizisindeki araç ve tekniklerin bir kombinasyonundan yararlandığına tanık olduğunu söyledi.
Öte yandan, Onyx Sleet tarafından gerçekleştirilen izinsiz girişler, JetBrains TeamCity hatasının istismar edilmesiyle sağlanan erişimi kullanarak, muhtemelen Kerberos Bilet Verme Biletini taklit etmeyi amaçlayan krtbgt adında yeni bir kullanıcı hesabı oluşturuyor.
Microsoft, “Hesabı oluşturduktan sonra tehdit aktörü, hesabı net kullanım yoluyla Yerel Yöneticiler Grubuna ekler” dedi. “Tehdit aktörü ayrıca güvenliği ihlal edilmiş sistemlerde çeşitli sistem keşif komutları çalıştırıyor.”
Saldırılar daha sonra, tehlikeye atılan ana bilgisayar ile saldırganın kontrol ettiği altyapı arasında kalıcı bir bağlantı kurulmasına yardımcı olan HazyLoad adlı özel bir proxy aracının konuşlandırılmasına yol açıyor.
Bir diğer dikkate değer güvenlik ihlali sonrası eylem, saldırgan tarafından kontrol edilen krtbgt hesabının, güvenliği ihlal edilen cihazda uzak masaüstü protokolü (RDP) aracılığıyla oturum açmak için kullanılması ve diğer tehdit aktörlerinin erişimini engellemek amacıyla TeamCity hizmetinin sonlandırılmasıdır.
Yıllar geçtikçe Lazarus grubu, kripto para birimi soygunları ve tedarik zinciri saldırıları yoluyla finansal suç ve casusluk saldırılarını eşit ölçüde düzenleyen, şu anda aktif olan en zararlı ve sofistike gelişmiş kalıcı tehdit (APT) gruplarından biri haline geldi.
“Kuzey Kore’nin, Singapur, Vietnam ve Hong Kong da dahil olmak üzere dünya çapındaki altyapı çevresinde kripto para birimini hacklemesinin, füze programının ilerlemesini finanse etmek için kullanılan rejim için önemli bir gelir kaynağı olduğuna ve çok daha büyük olduğuna kesinlikle inanıyoruz. Geçen yıl çok sayıda fırlatma gördük” dedi ABD Ulusal Güvenlik Danışman Yardımcısı Anne Neuberger.
Bu gelişme, AhnLab Güvenlik Acil Durum Müdahale Merkezi’nin (ASEC), Lazarus Grubunun, virüs bulaşmış sistemleri kontrol etmek için arka kapılara hizmet veren bir kanal görevi gören Volgmer ve Scout gibi kötü amaçlı yazılım ailelerini kullanmasını ayrıntılarıyla anlatmasıyla ortaya çıktı.
Güney Koreli siber güvenlik firması, korsan ekibini Dream Magic Operasyonu kod adlı başka bir kampanyaya dahil ederek, “Lazarus grubu, hedef odaklı kimlik avı ve tedarik zinciri saldırıları gibi çeşitli saldırı vektörlerini kullanan, dünya çapında oldukça aktif olan çok tehlikeli gruplardan biridir.” dedi. .
Bu, daha önce Lazarus Grubu ile ilişkilendirilen bir taktik olan, enfeksiyonları etkinleştirmek için INISAFE ve MagicLine ürünlerindeki güvenlik kusurlarını silah haline getiren, belirtilmemiş bir haber sitesindeki belirli bir makaleye sahte bir bağlantı ekleyerek sulama deliği saldırıları düzenlemeyi içerir.
ASEC, Kuzey Kore’nin gelişen saldırı programlarının bir başka işareti olarak, Kimsuky (diğer adıyla APT43) olarak bilinen başka bir tehdit aktörünü, çeşitli uzak masaüstü araçları ve VNC yazılımları yüklemek için BabyShark kötü amaçlı yazılımını kullanan yeni bir hedef odaklı kimlik avı saldırıları dizisine bağladı. (yani, TightVNC ve TinyNuke) kurban sistemlerine el koymak ve bilgi sızdırmak için.