Andariel tehdit grubunun, CVE-2023-46604 olarak sınıflandırılan Apache ActiveMQ uzaktan kod yürütme güvenlik açığından yararlanarak kötü amaçlı yazılım yüklediği keşfedildi.
Grubun ya Lazarus’un bir yan kuruluşu olduğu ya da Lazarus tehdit grubuyla aktif bir ortaklık içinde olduğu biliniyor. Öncelikle 2008’de tespit edilen Güney Kore kurum ve kuruluşlarını hedef alıyor.
Başlıca hedefleri ulusal savunma, siyasi gruplar, gemi inşası, enerji, telekomünikasyon, BİT firmaları, üniversiteler ve lojistik firmalarıdır.
Andariel Grubu Apache ActiveMQ Güvenlik Açıklarından Yararlanıyor
Açık kaynaklı bir mesajlaşma ve entegrasyon modeli sunucusu olan Apache ActiveMQ’daki uzaktan kod yürütme güvenlik açığı, CVE-2023-46604 olarak tanımlandı.
Bir tehdit aktörü, yama uygulanmamış bir Apache ActiveMQ sunucusunun harici olarak açığa çıkması durumunda uzaktan kötü amaçlı komutlar yürütebilir ve sistemi ele geçirebilir.
Yaklaşan web seminerinde CTO Karthik Krishnamoorthy ve Indusface Ürün Başkan Yardımcısı Vivek Gopalan, API’lerin nasıl saldırıya uğrayabileceğini gösteriyor. Oturumda şunlar ele alınacak: OWASP API’nin en iyi 10 güvenlik açığından yararlanma, API’ye kaba kuvvetle hesap ele geçirme (ATO) saldırısı, API’ye DDoS saldırısı, WAAP’ın API ağ geçidi üzerinden güvenliği nasıl artırabileceği
Ücretsiz Kayıt Ol
AhnLab Güvenlik Acil Durum Müdahale Merkezi (ASEC), Cyber Security News ile paylaşılan bir raporda, “Andariel grubu, NukeSped ve TigerRat arka kapılarını yüklemek için Apache ActiveMQ sunucularındaki uzaktan kod yürütme güvenlik açığından yararlanıyor” dedi.
Grubun daha önce de kullandığı bir arka kapı olan NukeSped’in belirli bir sisteme kurulduğu tespit edildi. Kötü amaçlı yazılım, C&C sunucusuna komutlar göndererek virüslü sistemin kontrolünü ele geçirebilir. Lazarus ve Andariel grupları genellikle bunu tehlikeye atılmış sistemlerin kontrolünü ele geçirmek için kullanıyor.
En son saldırılarda kullanılan NukeSped sürümü yalnızca üç komutu destekliyor: dosyaları indirme, komutları yürütme ve çalışan işlemleri sonlandırma.
Araştırmacılar, “C&C sunucusuyla ilk iletişim sırasında POST yöntemi kullanıldı, ancak C&C’den alınan komutların yürütülmesinin sonuçlarını ve herhangi bir komut yürütme hatası mesajını iletmek için Google’ı ziyaret ediyormuş gibi görünen bir GET yöntemi kullanıldı” dedi.
Normal NukeSped arka kapılarına benzer şekilde, C&C sunucusuyla uygun olmayan bir bağlantı kurulduğunda otomatik silme işlemi bir toplu iş dosyası aracılığıyla gerçekleştirilir.
Bu iyi bilinen saldırılara ek olarak, CobaltStrike ve Metasploit Meterpreter’a yönelik Stager kurulum günlükleri de keşfedildi.
Bu nedenle araştırmacılar, CVE-2023-46604 güvenlik açığının yakın zamanda ortaya çıkmasına rağmen yama yapılmamış sistemlerin kısa sürede birden fazla saldırının odağı haline geldiğini iddia ediyor.
Öneri
Kullanıcılar, e-posta eklerini açarken ve tanımlanamayan kaynaklardan yürütülebilir dosyalar indirirken dikkatli olmalıdır. Kurumsal güvenlik personeli, varlık yönetimi yazılımını iyileştirmeli ve herhangi bir güvenlik açığı varsa güncellemeleri yüklemelidir.
Kötü amaçlı yazılım bulaşmalarına karşı ek koruma için kullanıcıların V3’ü en son sürüme yükseltmeleri ve web tarayıcıları da dahil olmak üzere işletim sistemleri ve uygulamaları için en yeni yamaları uygulamaları gerekir.
14 günlük ücretsiz deneme sürümünü deneyerek StorageGuard’ın depolama sistemlerinizdeki güvenlik kör noktalarını nasıl ortadan kaldırdığını deneyimleyin.