Olarak bilinen Kuzey Kore bağlantılı tehdit aktörü Andariel adlı daha önce belgelenmemiş bir kötü amaçlı yazılımdan yararlandı. Erken Sıçan geçen yıl Log4j Log4Shell güvenlik açığından yararlanan saldırılarda.
Kaspersky, “Andariel, sırayla komut ve kontrol (C2) sunucusundan daha fazla kötü amaçlı yazılım indiren bir Log4j istismarı yürüterek makinelere bulaşıyor.” söz konusu yeni bir raporda.
Silent Chollima ve Stonefly olarak da adlandırılan Andariel, aynı zamanda APT38’i (aka MaviNoroff) ve şemsiye adı altında toplu olarak izlenen diğer alt öğeler Lazarus Grubu.
Tehdit aktörünün, stratejik çıkarları olan yabancı hükümet ve askeri kuruluşlara karşı casusluk saldırıları yürütmesinin yanı sıra, yaptırımlardan etkilenen ülkeye ekstra bir gelir kaynağı olarak siber suçlar gerçekleştirmesiyle biliniyor.
Cephaneliğindeki önemli siber silahlardan bazıları, Maui olarak adlandırılan bir fidye yazılımı türünü ve Dtrack (Valefor ve Preft olarak da bilinir), NukeSped (Manuscrypt olarak da bilinir), MagicRAT ve YamaBot gibi çok sayıda uzaktan erişim truva atı ve arka kapıyı içerir.
Nuke Hızı içerir süreçler oluşturmak ve sonlandırmak ve virüslü ana bilgisayarda dosyaları taşımak, okumak ve yazmak için bir dizi özellik. NukeSped’in kullanımı, ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi (CISA) tarafından TraderTraitor adı altında izlenen bir kampanyayla örtüşüyor.
Andariel’in yama uygulanmamış VMware Horizon sunucularındaki Log4Shell güvenlik açığını silah haline getirmesi daha önce 2022’de AhnLab Güvenlik Acil Müdahale Merkezi (ASEC) ve Cisco Talos tarafından belgelenmişti.
Kaspsersky tarafından keşfedilen en son saldırı zinciri, EarlyRat’ın sahte Microsoft Word belgeleri içeren kimlik avı e-postaları yoluyla yayıldığını gösteriyor. Dosyalar açıldığında, alıcılardan makroları etkinleştirmelerini ister, bu da truva atını indirmekten sorumlu VBA kodunun yürütülmesine yol açar.
Basit ama sınırlı bir arka kapı olarak tanımlanan EarlyRat, sistem bilgilerini toplamak ve uzak bir sunucuya sızdırmak ve ayrıca isteğe bağlı komutları yürütmek için tasarlanmıştır. Ayrıca, MagicRAT ile üst düzey benzerlikler paylaşıyor, adlı bir çerçeve kullanılarak yazıldığından bahsetmiyorum bile. Saf Temel. MagicRAT ise Qt Çerçevesini kullanır.
İzinsiz girişin diğer bir özelliği, hedefin daha fazla kullanılması için 3Proxy, ForkDump, NTDSDumpEx, Powerline ve PuTTY gibi kullanıma hazır yasal araçların kullanılmasıdır.
Kaspersky, “Bir APT grubu olmasına rağmen Lazarus, fidye yazılımı dağıtmak gibi tipik siber suç görevlerini yerine getirmesiyle tanınıyor ve bu da siber suç ortamını daha karmaşık hale getiriyor” dedi. “Ayrıca, grup çok çeşitli özel araçlar kullanıyor, sürekli olarak mevcut olanı güncelliyor ve yeni kötü amaçlı yazılımlar geliştiriyor.”