Kuzey Kore bağlantılı kötü şöhretli tehdit aktörü Lazarus Grubu daha önce belgelenmemiş uzaktan erişim truva atlarını (RAT’lar) güvenliği ihlal edilmiş ana bilgisayarlara dağıtmak için Log4j’deki güvenlik kusurlarının fırsatçı bir şekilde istismar edilmesini içeren yeni bir küresel kampanyaya atfedildi.
Cisco Talos, etkinliği Demirci Operasyonu adı altında izliyor ve aralarında komuta ve kontrol (C2) için Telegram’dan yararlanan NineRAT adlı bir RAT, DLRAT ve BottomLoader adlı bir indiricinin de bulunduğu üç DLang tabanlı kötü amaçlı yazılım ailesinin kullanıldığına dikkat çekiyor.
Siber güvenlik firması, düşmanın en son taktiklerini kesin bir değişim olarak tanımladı ve bunların, Lazarus şemsiyesi içindeki bir alt grup olan Andariel (diğer adıyla Onyx Sleet veya Silent Chollima) olarak geniş çapta takip edilen kümeyle örtüştüğünü belirtti.
Talos araştırmacıları Jung soo An, Asheer Malhotra ve Vitor Ventura teknik bir raporda şunları söyledi: “Andariel’in görevi genellikle Kuzey Kore hükümetinin ulusal çıkarlarını desteklemek amacıyla ilk erişim, keşif ve casusluk için uzun vadeli erişim oluşturmaktır.” rapor The Hacker News ile paylaşıldı.
Saldırı zincirleri, NineRAT sunmak için CVE-2021-44228’in (diğer adıyla Log4Shell) kamuya açık VMWare Horizon sunucularına karşı kullanılmasını içerir. Hedeflenen öne çıkan sektörlerden bazıları imalat, tarım ve fiziksel güvenliği içermektedir.
Kodu Kırmak: Siber Saldırganların İnsan Psikolojisinden Nasıl Yararlandığını Öğrenin
Sosyal mühendisliğin neden bu kadar etkili olduğunu hiç merak ettiniz mi? Yaklaşan web seminerimizde siber saldırganların psikolojisinin derinliklerine dalın.
Log4Shell’in kötüye kullanılması, iki yıllık kamuya açıklamanın ardından uygulamaların yüzde 2,8’inin hâlâ kütüphanenin savunmasız sürümlerini (2.0-beta9’dan 2.15.0’a kadar) kullandığı göz önüne alındığında şaşırtıcı değil. Vera kodudiğer %3,8’lik kısım ise CVE-2021-44228’e karşı savunmasız olmasa da CVE-2021-44832’ye karşı duyarlı olan Log4j 2.17.0’ı kullanıyor.
İlk olarak Mayıs 2022 civarında geliştirilen NineRAT’ın, Mart 2023 gibi erken bir tarihte Güney Amerika’daki bir tarım kuruluşuna ve ardından Eylül 2023’te bir Avrupa imalat kuruluşuna yönelik bir saldırıda kullanılmaya başlandığı söyleniyor. C2 iletişimleri için Telegram gibi meşru bir mesajlaşma hizmeti kullanarak amaç, tespit edilmekten kaçınmaktır.
Kötü amaçlı yazılım, virüslü uç noktayla etkileşimin birincil yolu olarak hareket ederek saldırganların sistem bilgilerini toplamak için komutlar göndermesine, ilgilenilen dosyaları yüklemesine, ek dosyalar indirmesine ve hatta kendisini kaldırıp yükseltmesine olanak tanır.
Araştırmacılar, “NineRAT etkinleştirildiğinde, virüslü sistemlerin parmak izini tekrar almak için telgraf tabanlı C2 kanalından ön komutları kabul ediyor” dedi.
“Enfekte olmuş sistemlerin yeniden parmak izi alınması, Lazarus tarafından NineRAT aracılığıyla toplanan verilerin diğer APT grupları tarafından paylaşılabileceğini ve esas olarak Lazarus tarafından ilk erişim ve implant yerleştirme aşamasında toplanan parmak izi verilerinden farklı bir depoda bulunduğunu gösteriyor.”
Ayrıca, ilk keşiften sonraki saldırılarda, JetBrains TeamCity’deki kritik güvenlik kusurlarını silah haline getiren izinsiz girişlerin bir parçası olarak tehdit aktörü tarafından kullanıldığı daha önce Microsoft tarafından tanımlanan HazyLoad adlı özel bir proxy aracı da kullanıldı (CVE-2023-42793, CVSS puanı: 9.8). HazyLoad, BottomLoader adı verilen başka bir kötü amaçlı yazılım aracılığıyla indirilir ve çalıştırılır.
Ayrıca, Demirci Operasyonu’nun, hem bir indirici hem de sistem keşfi gerçekleştirmek, ek kötü amaçlı yazılım dağıtmak ve C2’den komutlar almak ve bunları tehlikeye atılmış sistemlerde yürütmek için donatılmış bir RAT olan DLRAT’yi sağladığı gözlemlendi.
Araştırmacılar, “Örtüşen arka kapı girişi sağlayan birden fazla araç, Lazarus Group’a, bir aracın keşfedilmesi durumunda fazlalıklar sunarak, oldukça kalıcı erişim sağlıyor” dedi.
Log4Shell’in Andariel tarafından istismar edilmesi yeni değil, çünkü bilgisayar korsanlığı ekibi geçmişte bu güvenlik açığını EarlyRat olarak adlandırılan bir uzaktan erişim truva atı sunmak için ilk erişim vektörü olarak kullanmıştı.
Açıklama, AhnLab Güvenlik Acil Durum Müdahale Merkezi’nin (ASEC), Kimsuky’nin Amadey ve RftRAT gibi kötü amaçlı yazılımların AutoIt sürümlerini kullanması ve bunları güvenlik ürünlerini atlatmak amacıyla bubi tuzaklı ekler ve bağlantılar içeren hedef odaklı kimlik avı saldırıları yoluyla dağıtması hakkında ayrıntılı bilgi vermesiyle geldi.
APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (önceden Thallium), Nickel Kimball ve Velvet Chollima isimleriyle de bilinen Kimusky, aynı zamanda Lazarus Grubuna da ev sahipliği yapan Kuzey Kore’nin Keşif Genel Bürosu (RGB) altında faaliyet gösteren bir unsurdur.
Rejimin stratejik hedeflerini destekleyecek istihbarat toplaması nedeniyle 30 Kasım 2023’te ABD Hazine Bakanlığı tarafından onaylandı.
ASEC, “Kimsuky grubu, virüslü sistemin kontrolünü ele geçirdikten sonra bilgi sızdırmak için tuş kaydediciler ve web tarayıcılarından hesapları ve çerezleri çıkarmaya yönelik araçlar gibi çeşitli kötü amaçlı yazılımlar yüklüyor.” söz konusu Geçen hafta yayınlanan bir analizde.