Görünüşe göre Lazarus Group’un sahte iş teklifleriyle hedeflediği tek kişi blockchain geliştiricileri ve sanatçıları değil.
Avrupa’daki havacılık uzmanları ve siyasi gazeteciler de son zamanlarda aynı tür sosyal mühendislik saldırılarıyla aynı amaca yönelik olarak hedef alındı: kurumsal casusluk ve iş dünyasından veri hırsızlığı (yeni sekmede açılır) cihazlar.
Ancak bu kampanyayı benzersiz kılan şey, hedeflere meşru sürücüler bulaşmış olmasıdır.
İzleme mekanizmalarını devre dışı bırakma
ESET’ten siber güvenlik araştırmacıları, yakın zamanda, Kuzey Kore devlet destekli bir tehdit aktörü olan Lazarus Group’un, yukarıda belirtilen kişilere Amazon’dan sahte iş teklifleri ile yaklaştığını gördü.
Teklifi kabul eden ve sahte iş tanımı PDF dosyalarını indirenler, eski, güvenlik açığı bulunan bir Dell sürücüsü yüklediler. Bu, tehdit aktörlerinin uç noktalardan ödün vermeleri ve aradıkları her türlü veriyi sızdırmaları için kapıları açtı.
ESET, “Saldırganlar tarafından sağlanan en dikkate değer araç, meşru bir Dell sürücüsündeki CVE-2021-21551 güvenlik açığı nedeniyle çekirdek belleği okuma ve yazma yeteneği kazanan bir kullanıcı modu modülüydü” dedi. “Bu, bu güvenlik açığının vahşi doğada kaydedilen ilk kötüye kullanımı.”
Bu, Lazarus’a Windows’un bazı izleme mekanizmalarını devre dışı bırakma, kayıt defterini, dosya sistemini, süreç oluşturmayı, olay izlemeyi ve benzerlerini değiştirmesine izin verdi, dedi ESET ayrıca. Bu “temelde kör güvenlik çözümleri çok genel ve sağlam bir şekilde.”
BleepingComputer’a göre, CVE-2021-21551, Dell’in nihayet düzeltmesinden önce 12 yıl boyunca radarın altından kalkan beş farklı kusuru kapsayan bir güvenlik açığı. Lazarus bunu, çeşitli komutları yürütebilen, güvenliği ihlal edilmiş uç noktalardan ekran görüntüleri alabilen, çeşitli işlemler oluşturup sonlandırabilen, veri ve sistem bilgilerini sızdırabilen bir uzaktan erişim truva atı (RAT) olan HTTP(S) arka kapısı “BLINDINGCAN”ı dağıtmak için kullandı. daha fazla.
Tehdit aktörü, bir HTTP(S) yükleyicisi olan FudModule Rootkit’in yanı sıra güvenliği ihlal edilmiş açık kaynaklı uygulamalar wolfSSL ve FingerText’i dağıtmak için güvenlik açıklarını da kullandı.
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)