Kuzey Kore uyumlu Lazarus Grubu Adı açıklanmayan bir yazılım satıcısının, başka bir yüksek profilli yazılımdaki bilinen güvenlik kusurlarından yararlanarak tehlikeye atıldığı yeni bir kampanyanın arkasında bu saldırının olduğu düşünülüyor.
Kaspersky’ye göre saldırı dizileri, tehdit aktörünün kurban profili oluşturma ve yük dağıtımı için kullandığı bilinen bir bilgisayar korsanlığı aracı olan SIGNBT ve LPEClient gibi kötü amaçlı yazılım ailelerinin konuşlandırılmasıyla sonuçlandı.
Güvenlik araştırmacısı Seongsu Park, “Düşman, gelişmiş kaçırma teknikleri kullanarak ve kurban kontrolü için SIGNBT kötü amaçlı yazılımını tanıtarak yüksek düzeyde bir karmaşıklık gösterdi.” söz konusu. “Bu saldırıda kullanılan SIGNBT kötü amaçlı yazılımı, çeşitli bir enfeksiyon zinciri ve karmaşık teknikler kullandı.”
Rus siber güvenlik sağlayıcısı, istismar edilen yazılımı geliştiren şirketin birkaç kez Lazarus saldırısının kurbanı olduğunu, bunun da 3CX tedarik zinciri saldırısında olduğu gibi kaynak kodunu çalma veya yazılım tedarik zincirini zehirleme girişimine işaret ettiğini söyledi.
Park, Lazarus Grubunun “diğer yazılım üreticilerini hedef alırken şirketin yazılımındaki güvenlik açıklarından yararlanmaya devam ettiğini” ekledi. Son faaliyet kapsamında, Temmuz 2023 ortası itibarıyla bazı kurbanların seçildiği söyleniyor.
Şirkete göre kurbanlar, dijital sertifikalar kullanarak web iletişimlerini şifrelemek için tasarlanmış meşru bir güvenlik yazılımı aracılığıyla hedef alındı. Yazılımın adı açıklanmadı ve yazılımın SIGNBT’yi dağıtmak için hangi mekanizma tarafından silah haline getirildiği tam olarak bilinmiyor.
Saldırı zincirleri, tehlikeye atılmış sistemlerde kalıcılık oluşturmak ve sürdürmek için çeşitli taktiklere güvenmenin yanı sıra, SIGNBT kötü amaçlı yazılımını başlatmak için bir kanal görevi gören bir bellek içi yükleyici kullanır.
SIGNBT’nin ana işlevi, uzak bir sunucuyla bağlantı kurmak ve virüslü ana bilgisayarda yürütülmek üzere diğer komutları almaktır. Kötü amaçlı yazılım, HTTP tabanlı komuta ve kontrol (C2) iletişimlerinde “SIGNBT” ön ekiyle gelen ayırt edici dizeleri kullanması nedeniyle bu adı almıştır.
- SIGNBTLG, ilk bağlantı için
- SIGNBTKE, C2 sunucusundan bir BAŞARI mesajı alındığında sistem meta verilerini toplamak için
- SIGNBTGC, komutları almak için
- SIGNBTFI, iletişim hatası için
- Başarılı bir iletişim için SIGNBTSR
Windows arka kapısı, kurbanın sistemi üzerinde kontrol sağlamak için çok çeşitli yeteneklerle donatılmıştır. Buna süreç numaralandırma, dosya ve dizin işlemleri ve LPEClient ve diğer kimlik bilgileri boşaltma yardımcı programları gibi yüklerin dağıtımı dahildir.
Kaspersky, çeşitli izinsiz giriş vektörleri ve bulaşma prosedürlerini kullanarak 2023 yılında en az üç farklı Lazarus kampanyası tespit ettiğini ancak son aşamadaki kötü amaçlı yazılımı sunmak için sürekli olarak LPEClient kötü amaçlı yazılımına güvendiğini söyledi.
Böyle bir kampanya, 3CX sesli ve görüntülü konferans yazılımının truva atı haline getirilmiş bir versiyonunu kullanarak kripto para birimi şirketlerini hedef alan siber saldırılarda kullanılan Gopuram kod adlı bir implantın önünü açtı.
En son bulgular, Lazarus Grubunun sürekli gelişen ve genişleyen araç, taktik ve teknik cephaneliğinin bir kanıtı olmasının yanı sıra, Kuzey Kore bağlantılı siber operasyonların en son örneğidir.
Park, “Lazarus Grubu, günümüzün siber güvenlik ortamında son derece aktif ve çok yönlü bir tehdit aktörü olmaya devam ediyor” dedi.
“Tehdit aktörü, yüksek profilli yazılımlardaki güvenlik açıklarından yararlanmayı da içerecek şekilde taktiklerini geliştirerek BT ortamlarına ilişkin derin bir anlayış sergiledi. Bu yaklaşım, ilk bulaşmalar gerçekleştikten sonra kötü amaçlı yazılımlarını verimli bir şekilde yaymalarına olanak tanıyor.”