Şüpheli bir Kuzey Koreli hack grubu, ABD ve Avrupa'daki güvenlik araştırmacılarını ve medya kuruluşlarını, üç yeni, özel kötü amaçlı yazılım ailesinin konuşlandırılmasına yol açan sahte iş teklifleriyle hedefliyor.
Saldırganlar, hedeflerini WhatsApp üzerinden etkileşim kurmaya ikna etmek için kullanıyorlar, burada hedefin kurumsal ortamında bir dayanak kurmalarına yardımcı olan C ++ arka kapısı olan kötü amaçlı yazılım yükü “Plankwalk” i düşürüyorlar.
Haziran 2022'den bu yana belirli bir kampanyayı izleyen Mantiant'a göre, gözlemlenen etkinlik “Operasyon Dream Job” ile örtüşüyor ve “Lazarus Grubu” olarak bilinen Kuzey Kore kümesine atfedildi.
Bununla birlikte, Mantiant, bu kampanyayı “UNC2970” olarak izledikleri ayrı bir gruba atfetmek için kullanılan araçlar, altyapı ve TTP'lerde (taktikler, teknikler ve prosedürler) yeterli farklılıklar gözlemledi.
Ayrıca, saldırganlar, bilinen herhangi bir tehdit grubuna atfedilmeyen 'Touchmove', 'Sideshow' ve 'Touchshift' adlı daha önce görülmemiş kötü amaçlı yazılım kullanırlar.
Mantiant, belirli grubun daha önce savunma endüstrisindeki teknoloji firmalarını, medya gruplarını ve varlıkları hedeflediğini söyledi. En son kampanyası, hedefleme kapsamını geliştirdiğini ve yeteneklerini uyarladığını gösteriyor.
Bilgisayar korsanları, LinkedIn üzerindeki hedeflere yaklaşarak, iş işe alım görevlileri olarak poz vererek saldırılarına başlar. Nihayetinde, kötü niyetli makrolarla gömülü bir kelime belgesini paylaşarak "işe alım" sürecine devam etmek için WhatsApp'a geçtiler.
Mantiant, bazı durumlarda, bu kelime belgelerinin hedeflere terfi ettikleri iş tanımlarına uyacak şekilde stilize edildiğini söylüyor. Örneğin, Mantiant tarafından paylaşılan yemlerden biri, aşağıda gösterildiği gibi New York Times'ı taklit eder.
Word belgesinin makroları, saldırganın komutu ve kontrol sunucuları olarak hizmet veren tehlikeye atılan WordPress sitelerinden TueVNC'nin trojanize edilmiş bir sürümünü almak için uzaktan test enjeksiyonu gerçekleştirir.
Mantiant, bu özel yapım sürümünü TightVNC'nin “Lidshift” olarak izler. Yürütme üzerine, sistemin belleğine şifreli bir DLL (Trojanize Not Defteri ++ eklentisi) yüklemek için yansıtıcı DLL enjeksiyonu kullanır.
Yüklü dosya, sistem numaralandırmasını gerçekleştiren ve ihlal edilen cihazda “Plankwalk” adlı son dayanak oluşturan yükü dağıtan “Lidshot” adlı bir kötü amaçlı yazılım indiricisidir.
Sıkıştırma sonrası aşamada, Kuzey Koreli bilgisayar korsanları, kendini meşru bir Windows ikili (Mscoree.dll veya netplwix.dll) olarak gizleyen “Touchshift” adlı yeni, özel bir kötü amaçlı yazılım damlası kullanıyor.
Touchshift daha sonra “TouchShot” adlı başka bir ekran görüntüsü, “Touchkey” adlı bir keylogger, “Hookshot” adlı bir tünel, “Touchmove” adlı yeni bir yükleyici ve “Sideshow” adlı yeni bir arka kapı yüklüyor.
Grubun en ilginç olanı, toplam 49 komutu destekleyen yeni özel arka kapı yan gösterisidir. Bu komutlar, bir saldırganın tehlikeye atılan cihazda keyfi kod yürütme gerçekleştirmesini, kayıt defterini değiştirmesini, güvenlik duvarı ayarlarını değiştirmesini, yeni planlanan görevler eklemesini ve ek yükler yürütmesini sağlar.
Hedeflenen kuruluşların bir VPN kullanmadığı bazı durumlarda, tehdit aktörleri PowerShell komut dosyalarını kullanarak “Cloudbburst” kötü amaçlı yazılımları dağıtmak için Microsoft Intune'u kötüye kullandılar.
Bu araç aynı zamanda kendisini meşru bir Windows dosyası olarak gizler, daha spesifik olarak “mscoree.dll” ve rolü sistem numaralandırmasını gerçekleştirmektir.
Mantiant Today tarafından yayınlanan ikinci bir rapor, “Kendi Savunmasız Sürücünüzü Getir” (BYOVD) taktiği ve ardından UNC2970'e odaklanıyor.
Geri ihraç edilen sistemlerdeki günlükleri inceledikten sonra Mantiant’ın analistleri şüpheli sürücüler ve tek bir DLL dosyası buldular (“_sb_smbus_sdk.dl.dl”).
Daha fazla araştırma yapıldıktan sonra, araştırmacılar bu dosyaların “LightShift” olarak izlenen bir bellek içi damlalık olan “Share.dat” adlı başka bir dosya tarafından oluşturulduğunu keşfettiler.
Damla, savunmasız sürücüyü çekirdek belleğinde keyfi okuma ve yazma işlemleri gerçekleştirmek için kullanan “Lightshow” adı verilen gizlenmiş bir yükü yükler.
Yükün rolü, EDR (uç nokta algılama ve yanıt) yazılımı tarafından kullanılan çekirdek rutinlerini patlatmak ve davetsiz misafirlerin tespitten kaçmasına yardımcı olmaktır.
Özellikle, bu kampanyada kullanılan sürücü, Mantiant'ın keşfi sırasında savunmasız olduğu bilinmeyen bir ASUS sürücüsü (“Driver7.sys”) idi, bu yüzden Kuzey Koreli bilgisayar korsanları sıfır gün kusurundan yararlanıyordu.
Mantiant, sorunu Ekim 2022'de ASUS'a bildirdi, güvenlik açığı CVE-2022-42455 tanımlayıcısını aldı ve satıcı yedi gün sonra yayınlanan bir güncelleme yoluyla düzeltti.
Kuzey Koreli bilgisayar korsanları, daha önce güvenlik açığı araştırmacıları gibi davranan sahte çevrimiçi sosyal medya kişileri oluşturarak güvenlik açığı ve geliştirilmesine katılan güvenlik araştırmacılarını hedef almıştı.
Bu kişiler daha sonra güvenlik açığı araştırmalarında potansiyel işbirliği hakkında diğer güvenlik araştırmacılarıyla iletişime geçecektir.
Bir araştırmacı ile iletişim kurduktan sonra, bilgisayar korsanları bir Internet Explorer Zero gününü kullanan kötü niyetli görsel stüdyo projeleri ve MHTML dosyaları gönderdi.
Bu yemlerin her ikisi de bilgisayarlara uzaktan erişim elde etmek için hedeflenen araştırmacıların cihazlarına kötü amaçlı yazılım dağıtmak için kullanıldı.
Redeyes hacker'ları Windows, telefonlardan veri çalmak için yeni kötü amaçlı yazılım kullanıyor
Kuzey Koreli bilgisayar korsanları iki aylık ihlalde araştırma verilerini çaldı
Ürün yazılımı yükseltmelerinden kurtulan kötü amaçlı yazılımlarla enfekte olan Sonicwall cihazları
Cliniopa Hackers, hedefli saldırılarda yeni Atharvan kötü amaçlı yazılım kullanıyor
Yeni Whiskerspy kötü amaçlı yazılım Truva Codec yükleyicisi aracılığıyla teslim edildi
Kaynak: Bleeping Computer