Rezil Lazarus Grubu aktör, hedeflenen sistemlere kötü amaçlı yazılım dağıtmak için ilk ihlal yolu olarak Microsoft Internet Information Services (IIS) sunucularının savunmasız sürümlerini hedefliyor.
AhnLab Güvenlik Acil Durum Müdahale Merkezi’nden (ASEC) elde edilen bulgular, gelişmiş kalıcı tehdidin (APT) kötü amaçlı yazılım dağıtmak için DLL yandan yükleme tekniklerini kötüye kullanmaya devam ettiğini ayrıntılı olarak açıklıyor.
ASEC, “Tehdit aktörü, Windows IIS web sunucusu işlemi w3wp.exe aracılığıyla normal bir uygulamayla (Wordconv.exe) aynı klasör yoluna kötü amaçlı bir DLL (msvcr100.dll) yerleştiriyor.” “Daha sonra, kötü amaçlı DLL’nin yürütülmesini başlatmak için normal uygulamayı yürütürler.”
DLL yandan yükleme, DLL arama sırasını ele geçirmeye benzer şekilde, aynı dizine eklenmiş zararsız bir ikili dosya yoluyla hileli bir DLL’nin vekil yürütmesini ifade eder.
Kuzey Kore ile bağlantılı oldukça yetenekli ve amansız bir ulus-devlet grubu olan Lazarus’un en son kurumsal iletişim hizmeti sağlayıcısı 3CX’e yönelik kademeli tedarik zinciri saldırısıyla bağlantılı olarak aynı tekniği kullandığı görüldü.
Kötü amaçlı msvcr100.dll kitaplığı ise, daha sonra bellekte yürütülen kodlanmış bir yükün şifresini çözmek için tasarlanmıştır. Kötü amaçlı yazılımın, geçen yıl ASEC tarafından keşfedilen ve aktör tarafından kontrol edilen bir sunucuyla iletişim kurmak için bir arka kapı görevi gören benzer bir yapının bir çeşidi olduğu söyleniyor.
Saldırı zinciri ayrıca, kimlik bilgilerinin çalınmasını ve yanal hareketi kolaylaştırmak amacıyla ek kötü amaçlı yazılım sağlamak için Quick Color Picker adlı durdurulan bir açık kaynaklı Notepad++ eklentisinin kullanılmasını gerektirdi.
En son gelişme, Lazarus saldırılarının çeşitliliğini ve uzun vadeli casusluk operasyonları yürütmek için kurbanlara karşı kapsamlı bir dizi araç kullanma becerisini gösteriyor.
“Özellikle, tehdit grubu ilk sızmaları sırasında öncelikle DLL yandan yükleme tekniğini kullandığından, şirketler proaktif olarak anormal süreç yürütme ilişkilerini izlemeli ve tehdit grubunun bilgi sızdırma ve yanal hareket gibi faaliyetler gerçekleştirmesini önlemek için önleyici tedbirler almalıdır. dedi ASEC.
ABD Hazine Yaptırımları Kuzey Kore Kuruluşları
Bulgular aynı zamanda ABD Hazine Bakanlığı’nın Kuzey Kore’nin stratejik önceliklerini desteklemeyi amaçlayan kötü niyetli siber faaliyetlere ve bağış toplama planlarına karışan dört kuruluşa ve bir kişiye yaptırım uygulamasıyla geldi.
Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
Koltuğumu Kurtar!
Buna Pyongyang Otomasyon Üniversitesi, Teknik Keşif Bürosu ve ona bağlı siber birim, 110. Araştırma Merkezi, Chinyong Bilgi Teknolojisi İşbirliği Şirketi ve Kim Sang Man adlı bir Kuzey Kore vatandaşı dahildir.
Lazarus Grubu ve çeşitli kümelerinin, Kuzey Kore’nin saldırı siber taktikleri ve araçları geliştirmesini denetleyen Teknik Keşif Bürosu tarafından işletildiğine inanılıyor.
Yaptırımlardan etkilenen ülkenin, kripto para hırsızlığı ve casusluk operasyonlarıyla uğraşmasının yanı sıra, dünya çapında teknoloji ve sanal para sektörlerinde iş bulmak için hayali kimlikler altında poz veren yetenekli BT çalışanlarından oluşan bir iş gücünden yasa dışı gelir elde ettiği biliniyor.
“Kuzey Kore, kötü niyetli siber faaliyetler yürütüyor ve Kim rejimini ve yasadışı kitle imha silahları ve balistik füze programları gibi önceliklerini desteklemek için sanal para birimi de dahil olmak üzere gelir elde etmek için hileli bir şekilde iş bulan bilgi teknolojisi (BT) çalışanlarını görevlendiriyor. ” departman söyledi.
“Bu işçiler, bu şirketlerdeki işlere başvurmak için tipik olarak sahte kişiler, vekil hesaplar, çalınan kimlikler ve tahrif edilmiş veya sahte belgeler kullanarak kimliklerini, konumlarını ve milliyetlerini kasıtlı olarak karartıyorlar.”
Güney Kore hükümeti, “Dünyanın dört bir yanındaki şirketlerden serbest istihdam sözleşmeleri aldıktan sonra, serbest çalışma platformları (web siteleri/uygulamalar) ve kripto para birimi geliştirme dahil olmak üzere çok çeşitli BT geliştirme çalışmalarına katılarak yılda yüz milyonlarca dolar kazanıyorlar.” Aralık 2022’de uyarıldı.