'Ananas Yok!' Kuzey Kore Lazarus hackleme grubuna atfedildi ve tehdit aktörlerinin herhangi bir yıkıma neden olmadan kurbandan 100 GB veri çalmasına izin verdi.
Kampanya, Ağustos ve Kasım 2022 arasında sürdü ve tıbbi araştırma, sağlık, kimya mühendisliği, enerji, savunma ve önde gelen bir araştırma üniversitesinde organizasyonları hedef aldı.
Operasyon, analistleri müşterilerinden birinde potansiyel bir fidye yazılımı olayını araştırmak için çağrılan Finlandiya siber güvenlik firması tarafından keşfedildi. Ancak, Lazarus'un operasyonel bir hatası sayesinde, kampanyayı Kuzey Kore Apt ile ilişkilendirebildiler.
Withecure, etkinliği birden fazla kanıt parçasına dayalı olarak atfedebildi, ancak Lazarus için bazı yeni gelişmeleri de fark etti:
Kampanya adını alıyor '
Lazarus bilgisayar korsanları, CVE-2022-27925 (uzaktan kod yürütme) ve CVE-2022-37042 (Kimlik Doğrulama Bypass) Zimbra güvenlik açıklıklarından, hedefin posta sunucusuna bir webshell bırakmak için 22 Ağustos 2022'de kurbanın ağını tehlikeye attı.
Bu RCE kusuru Mayıs 2022'de yamalandı, ancak kimlik doğrulama bypass bir güvenlik güncellemesi yayınlamak için 12 Ağustos'a kadar Zimbra aldı. O zamana kadar, tehdit aktörleri tarafından aktif sömürü altındaydı.
Ağı başarıyla ihlal ettikten sonra, bilgisayar korsanları, tehdit aktörlerinin altyapısına ters tüneller oluşturmak için tünelleme araçlarını 'plink ve' 3proxy 'olarak konuşlandırdı ve tehdit aktörlerinin güvenlik duvarını atlamasına izin verdi.
Bir haftadan kısa bir süre sonra Withecure, davetsiz misafirlerin sunucudan yaklaşık 5GB e -posta mesajı çıkarmak ve daha sonra saldırganın sunucusuna yüklenen yerel olarak depolanan bir CSV dosyasına kaydetmek için değiştirilmiş komut dosyaları kullanmaya başladığını söylüyor.
Önümüzdeki iki ay boyunca, tehdit aktörleri ağdan yanal olarak yayıldı, yönetici kimlik bilgileri edindi ve cihazlardan veri çaldı.
Lazarus, ağ üzerinden yayılırken, DTRACK gibi birçok özel araç kullandı ve Grease kötü amaçlı yazılımın yeni bir sürümü olduğuna inanılan, Windows yöneticisi hesaplarını bulmak için kullanılan.
DTrack, Lazarus tarafından kullanıldığı bilinen bir bilgi çalan arka kapıdır, gres kötü amaçlı yazılım, Kuzey Kore devlet destekli başka bir hack grubu olan Kimusky ile ilişkilidir.
Saldırı, 5 Kasım 2022'de, aktörlerin iki aydan fazla bir süredir ağda gizlendiği ve sonuçta tehlikeye atılan kuruluştan 100 GB veri çalmasıyla sonuçlandı.
Withecure, tehdit aktörlerinin çalışma kalıplarını analiz edebildi ve Pazartesi -Cumartesi günleri 09: 00-22: 00 saatleri arasında çalıştıklarını belirtti.
"Saat dilimi ilişkilendirme analizi, saat diliminin UTC +9 ile hizalandığı sonucuna varmıştır. Günün gününe göre gözden geçirilmesi, çoğu tehdit aktör faaliyetinin 00:00 ila 15:00 UTC arasında meydana geldiğini bulur (09:00 ve 21:00 UTC +9) , "Secure ile paylaşıldı.
Diyerek şöyle devam etti: "Haftanın gününe göre analiz edilmesi, tehdit oyuncusunun Pazartesi -Cumartesi günleri aktif olduğunu, DPRK için ortak bir çalışma modeli olduğunu gösteriyor."
Bu Lazarus kampanyasında bulunan ilk önemli değişiklik, şimdi sadece altyapıları için alan adı olmayan IP adreslerine güvenmeleridir.
Bu değişikliğin, yenileme bakımının azalması ve daha fazla IP esnekliği de dahil olmak üzere tehdit aktörleri için avantajları vardır.
Son Lazarus saldırılarında tespit edilen yeni DTrack varyantı, 'onedriver.exe' adlı yürütülebilir bir şekilde bırakıldı ve artık veri açığa çıkması için kendi C2 sunucusunu kullanmıyor.
Bunun yerine, tehlikeye atılan makineye yerel olarak topladığı verileri aktarmak için ayrı bir arka kapıya dayanır ve bunları şifre korumalı bir arşivde saklar.
Raporda, "Evreleme ve eksfiltrasyon ana bilgisayarının tehdit oyuncusu tarafından, uç nokta güvenlik izleme araçlarının konuşlandırılmadığı bir ev sahibi olması için dikkatle seçilmişti."
Lazarus tarafından kullanılan yeni gres kötü amaçlı yazılım, ev sahibinde 'PrintnightMare' kusurundan yararlanarak elde edilen daha yüksek ayrıcalıklarla DLL ("ord.dll") olarak yürütülür.
Önceki sürümlere kıyasla temel farkı, artık net kullanıcı komutlarının yardımıyla ayrıcalıklı bir kullanıcı hesabı oluşturmak için ana bilgisayara bir RDP hizmeti yüklemek için RDPWRAP kullanmasıdır.
Lazarus gibi son derece sofistike tehdit aktörleri için bile, hatalar yapmak duyulmadı ve bu durumda kampanyaların hack grubuna atfedilmesine izin verdi.
Secure'in mağdurdan alınan ağ günlüklerini araştırması, davetsiz misafirler tarafından dikilen web kabuklarından birinin Kuzey Kore IP adresi ("175.45.176 [.] 27") ile iletişim kurduğunu ortaya koydu.
Bu izole olay, o günün başında, bir proxy adresinden gelen bağlantılardan önce meydana geldi, bu da tehdit aktörünün iş günlerinin başlangıcında bir hatayla kendilerini ortaya çıkardığını gösterdi.
Buna ek olarak, Withecure, ihlal edilen ağ cihazlarında yürütülen çeşitli komutların Lazarus kötü amaçlı yazılımların içinde sabit kodlanmış olanlara çok benzer olduğunu, ancak genellikle hatalar içerdiğini ve yürütmediğini gözlemledi, bu da tehdit aktörlerinin onları epafk 'atexec' modülünü manuel olarak yazdığını gösterdi.
Hataların yanı sıra, Secure bu operasyonları Symantec ve Cisco Talos, istihdam edilen kötü amaçlı yazılım suşları, hedeflerin profilleri, altyapı örtüşmesi ve zaman bölgesi analizi tarafından yapılan önceki raporlarda ayrıntılı TTP örtüşmelerine dayanarak Lazarus'a bağlayabildi.
Withecure'un raporu, Lazarus'un faaliyetinin bir başka göstergesidir ve tehdit grubu istihbarat toplama ve yüksek profilli kurbanlardan büyük miktarda veri yayma çabalarını sürdürür.
Yeni Koyu Pembe Apt Grubu Govt ve Orduyu Özel Kötü Yazılımlarla Hedefliyor
FBI: Kuzey Koreli hackerlar Harmony Crypto Hack'te 100 milyon dolar çaldı
Yeni Boldmove Linux Kötü Yazılım Fortinet Cihazları Back Doldoor için Kullanılır
Dağınık örümcek bilgisayar korsanları, güvenliği atlamak için eski Intel sürücüsünü kullanır
Virustotal hile sayfası belirli sonuçları aramanızı kolaylaştırır
Kaynak: Bleeping Computer