Lazarus olarak bilinen kötü şöhretli Kuzey Koreli hack grubu, bu kez Dlang'da yazılmış daha önce görülmemiş üç kötü amaçlı yazılım ailesini dağıtmak için CVE-2021-44228, yani "Log4Shell" i kullanmaya devam ediyor.
Yeni kötü amaçlı yazılımlar, Ninerat ve DLRAT adlı iki uzaktan erişim Truva atları (sıçanlar) ve BottomLoader adında bir kötü amaçlı yazılım indiricisidir.
D programlama dili siber suç operasyonlarında nadiren görülür, bu nedenle Lazarus muhtemelen yeni kötü amaçlı yazılım geliştirme için tespit etmek için seçti.
Cisco Talos araştırmacılarının "Operasyon Demircisi" ni kodladığı kampanya, Mart 2023'te başladı ve dünya çapında üretim, tarımsal ve fiziksel güvenlik şirketlerini hedefliyor.
Demirci Operasyonu, Lazarus tarafından kullanılan taktiklerde ve araçlarda önemli bir değişimi temsil eder ve tehdit grubunun sürekli değişen taktiklerinin bir başka gösterisi olarak hizmet eder.
İlk kötü amaçlı yazılım Ninerat, Lazarus'un iki yeni farenin ilkidir. İhlal edilen bilgisayardan komut alma ve dosyaları eklemek de dahil olmak üzere Komut ve Kontrol (C2) iletişimi için Telegram API'sını kullanır.
Ninerat, kalıcılık oluşturmaktan ve ana ikili dosyaları fırlatmaktan da sorumlu olan bir damlalık içerir.
Kötü amaçlı yazılım, telgrafla kabul edilen aşağıdaki komutları destekler:
İkinci kötü amaçlı yazılım olan DLRAT, Lazarus'un enfekte olmuş bir sisteme ek yükler sunmak için kullanabileceği bir Truva ve İndiricidir.
DLRAT'ın bir cihazdaki ilk etkinliği, işletim sistemi ayrıntıları, ağ MAC adresi vb. Gibi ön sistem bilgilerini toplamak ve C2 sunucusuna göndermek için sert kodlanmış komutlar yürütmektir.
Saldırganın sunucusu, kurbanın harici IP adresi ve kötü amaçlı yazılım tarafından yerel yürütme komutlarından biri ile cevap verir:
Son olarak, Cisco'nun analistleri, PowerShell'i kullanarak sert kodlanmış bir URL'den yük getiren ve yürüten bir kötü amaçlı yazılım indiricisi olan BottomLoader'ı keşfederken, başlangıç dizini değiştirerek onlardan kalıcılık oluşturdu.
Buna ek olarak, BottomLoader, Lazarus'a dosyaları enfekte sistemden C2 sunucusuna ekleme kapasitesi sunarak bazı operasyonel çok yönlülük sağlıyor.
Cisco Talos tarafından gözlemlenen saldırılar, Log4J'de kritik bir uzaktan kod yürütme kusuru olan Log4shell'den yararlanmayı ve yaklaşık iki yıl önce sabitlenmiş ancak bir güvenlik sorunu olmaya devam ediyor.
Hedefler, LOG4J günlük kütüphanesinin savunmasız bir sürümünü kullanan ve saldırganların uzaktan kod yürütmesini gerçekleştirmesine izin veren VMware Horizon sunucularıyla karşı karşıya.
Uzlaşmanın ardından Lazarus, ihlal edilen sunucuda kalıcı erişim için bir proxy aracı kurar, keşif komutları çalıştırır, yeni yönetici hesapları oluşturur ve Procdump ve Mimikatz gibi kimlik bilgisi çalma araçlarını kullanır.
Saldırının ikinci aşamasında Lazarus, önceki bölümde vurgulandığı gibi çok çeşitli komutları destekleyen Ninerat'ı sistem üzerine yerleştirir.
Cisco, Lazarus'un Ninerat tarafından toplanan verilerle şemsiyesi altındaki diğer uygun (gelişmiş kalıcı tehdit) grupları veya kümeleri beslemesinin olası olduğu sonucuna varıyor.
Bu varsayım, Ninerat'ın bazı durumlarda "yeniden paraşütle atma" sistemi gerçekleştirmesi ve birden fazla aktör için sistem kimlik ve veri toplama gerçekleştirebileceğini ima ettiği gerçeğine dayanmaktadır.
Kuzey Kore'nin devlet hackerları 2017'den beri 3 milyar dolarlık kripto çaldı
İngiltere ve Güney Kore: Bilgisayar korsanları tedarik zinciri saldırısında sıfır gün kullanıyor
Microsoft: Tedarik Zinciri Saldırısında Lazarus Hackers CyberLink'i ihlal ediyor
Yeni MacOS 'Kandykorn' Kötü Yazılım Hedefleri Kripto para birimi mühendisleri
Lazarus Hackers, Signbt kötü amaçlı yazılımını dağıtmak için Dev'i tekrar tekrar ihlal etti
Kaynak: Bleeping Computer