Sahte Kötü Amaçlı Yazılım Analizi İş Teklifleri Sunan Saldırganlar


<strong>Sahte Kötü Amaçlı Yazılım Analizi Sunan Saldırganlar, Güvenlik Araştırmacılarını Hedefliyor</strong>” başlık=”<strong>Sahte Kötü Amaçlı Yazılım Analizi Sunan Saldırganlar, Güvenlik Araştırmacılarını Hedefliyor</strong>“/></div>
<p>Mandiant güvenlik araştırmacıları kısa süre önce, Kuzey Kore’den olduğuna inanılan bir grup bilgisayar korsanının aşağıdaki bölgelerde aktif olarak güvenlik araştırmacıları ve sahte iş teklifleriyle medya kuruluşlarını aradığını tespit etti:-</p>
<p>Sonuç olarak, hedefin ortamına üç farklı kötü amaçlı yazılım ailesi dağıtılır.  Tehdit aktörleri, sosyal mühendislik tekniklerini kullanarak hedeflerini kendileriyle bir WhatsApp görüşmesi yapmaya ikna eder.</p>
<p>Hedefin kurumsal ortamında yer edinebilmek için bu kanal üzerinden “PlankWalk” adlı bir C++ kötü amaçlı yazılım yükü bırakılır.</p>
<h2 id=Kampanya ve Operatörler

Mandiant, Haziran 2022’den beri belirli kampanyayı takip ediyor ve gözlemlenen faaliyet, “Lazarus grubu” olarak bilinen Kuzey Kore kümesine atfedilen “Dream Job Operasyonu” ile örtüşüyor.

DÖRT

Haziran 2022’de Mandiant ekibi kampanyayı sürekli olarak izlemeye başladı ve tüm bu faaliyetler o zamandan beri devam ediyor.

Lazarus grubu adlı bir Kuzey Kore kümesi, “Dream Job Operasyonu” ile örtüşen bu faaliyete atfedildi.

Bu kampanya ayrı bir grupla ilişkilendirilirken Mandiant, aşağıdaki hususlarda önemli farklılıklar gözlemlediğinden kümeyi “UNC2970” olarak takip etti:-

  • Aletler
  • altyapı
  • Taktikler

Ek olarak, saldırganlar daha önce bilinmeyen ve şu şekilde bilinen kötü amaçlı yazılımları kullandı: –

  • TOUCHMOVE
  • GÖSTERİ
  • TOUCHSHIFT

Bu grubun önceki hedefleri teknoloji şirketleri, medya şirketleri ve savunma ile ilgili kuruluşlardı.

Sahte İş Teklifleri Yoluyla Yer Kazanma

Bilgisayar korsanlarının saldırılarına iş bulma görevlisi kılığına girerek ve LinkedIn aracılığıyla hedeflere yaklaşarak başladıklarına inanılıyor.

İşe alım süreci nihayetinde, ilerlemek için kötü amaçlı makrolar içeren bir Word belgesi gönderdikleri WhatsApp aracılığıyla gerçekleştirildi.

Word belgelerinden bazıları, daha profesyonel görünmelerini sağlamak amacıyla hedef kitlelerine terfi ettirdikleri iş tanımlarına uyacak şekilde değiştirilir.

Uzak şablon enjeksiyonu, Word belgesindeki makrolar tarafından gerçekleştirilir. Saldırgan, güvenliği ihlal edilmiş WordPress web sitelerini bir C&C (komuta ve kontrol merkezi) olarak kullanarak, bir TightVNC’nin kötü amaçlı sürümünü indirir ve bu, uzaktan şablon enjeksiyonu yoluyla yapılır.

Mandiant’ın izleme sisteminin bir parçası olarak, TightVNC’nin bu özelleştirilmiş sürümüne LidShift adı verilir. Program çalıştırılır çalıştırılmaz, şifreli bir DLL, yansıtıcı DLL enjeksiyonu yoluyla sistemin belleğine yüklenecektir.

Bu dosyanın yüklenmesinin bir sonucu olarak, güvenliği ihlal edilmiş sistem, LidShot adlı bir kötü amaçlı yazılım indiricisi tarafından numaralandırılacaktır. Bu kötü amaçlı yazılım indiricisi daha sonra, güvenliği ihlal edilen cihazda bir dayanak noktası oluşturacak bir kötü amaçlı yazılım önyükleyicisi dağıtır.

Windows dosyaları ve İkili Dosyalar kılığına girme

Saldırının istismar sonrası aşamasında Kuzey Koreli bilgisayar korsanları tarafından yeni, özel bir kötü amaçlı yazılım damlatıcı kullanılır ve “TouchShift” olarak bilinir. TouchShift, saldırıyı gerçekleştirmek için meşru bir Windows ikili dosyasının davranışını taklit edecek şekilde tasarlanırken.

Ardından, TouchShift’in yüklediği bir dizi yasa dışı araç vardır, örneğin: –

  • TouchShot: Bir ekran görüntüsü yardımcı programı
  • TouchKey: Bir keylogger
  • HookShot: Bir tünel açıcı
  • TouchMove: Yeni bir yükleyici
  • SideShow: Yeni bir arka kapı

Grubun en ilgi çekici olan yeni özel arka kapı SideShow’da 49 komut bulunmaktadır. Saldırganın bu komutları kullanarak güvenliği ihlal edilmiş sistemde aşağıdaki eylemleri gerçekleştirmesi mümkündür:-

  • Rastgele kod yürütme
  • Kayıt defterini değiştir
  • Güvenlik duvarı ayarlarını değiştirin
  • Yeni zamanlanmış görevler ekle
  • Ek yükler yürütün

Ayrıca, PowerShell betiklerini kullanarak, tehdit aktörlerinin VPN’leri olmayan kuruluşları hedeflemek için “CloudBurst” kötü amaçlı yazılımını dağıttığı da izlendi.

Ek olarak, bu araç kendisini meşru bir Windows dosyası, yani “mscoree.dll” olarak gizler ve sistemi numaralandırma işlevine sahiptir.

EDR araçlarını devre dışı bırakmak için sıfır günden yararlanma

Mandiant’ın analistleri, güvenliği ihlal edilmiş sistemlerin günlük dosyalarında şüpheli sürücülerin yanı sıra günlükleri analiz ederken olağandışı bir DLL dosyası (“_SB_SMBUS_SDK.dll”) keşfetti.

LightShift olarak bilinen bellek içi bir damlalık, “Share.DAT” adlı başka bir dosyaya yanıt olarak bu dosyaları oluşturmuştu.

Damlalık “LightShow” adlı gizlenmiş bir yük yüklediği sürece, çekirdek belleğinden rasgele bilgileri okumanın ve yazmanın mümkün olduğu damlalığa yüklenmiş birden fazla yük vardır.

Yükün işlevinin bir sonucu olarak, davetsiz misafir tespit edilmekten kurtulabilir ve EDR’nin çekirdek rutinlerinden yararlanabilir. Kuzey Koreli bilgisayar korsanları, güvenlik açığı araştırmacılarına benzeyen sahte sosyal medya profilleri oluşturarak daha önce güvenlik açığı araştırmasına katılan güvenlik araştırmacılarını hedef aldı.

öneriler

Aşağıda tüm önerilerden bahsettik: –

  • Azure AD ayrıcalıklı erişim hesapları, yalnızca bulut hesaplarıyla sınırlandırılmalıdır.
  • Çok faktörlü kimlik doğrulama önlemlerini uygulayarak güçlendirin.
  • Kuruluşların bilgilerini yönetmek için bir PIM çözümü kullanmayı düşünmeleri konusunda güçlü bir öneri var.
  • CAP’ler, kuruluşlar tarafından Azure yönetim işlevlerini yalnızca Azure Active Directory’deki uyumlu ve kayıtlı cihazlar tarafından kullanılabilir olacak şekilde kısıtlamak için kullanılmalıdır.
  • Kuruluşlar Azure Identity Protection uygulamalıdır.
  • Yetkisiz değişiklikleri önlemek için Intune kullanan kuruluşlar tarafından Çoklu Yönetici Onayı uygulanmalıdır.
  • Office Makrolarını engellediğinizden emin olun.
  • Disk Görüntüsü Otomatik Bağlamayı devre dışı bırakmalı
  • Güvenlik mühendislerine ve araştırmacılara kötü amaçlı etkinlikleri tespit etmede yardımcı olmak için PowerShell günlüğü artırılmalıdır.

Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin



Source link