Kuzey Koreli APT grubu ‘Lazarus’ (APT38), Amerika Birleşik Devletleri, Kanada ve Japonya’daki enerji sağlayıcılarının kurumsal ağlarına erişmek için VMWare Horizon sunucularından yararlanıyor.
Lazarus, son on yılda casusluk, veri hırsızlığı ve kripto para çalma kampanyaları yürütmesiyle tanınan, devlet destekli bir tehdit aktörüdür. Tehdit aktörleri, uluslararası yüzlerce karmaşık saldırıdan sorumludur.
En son operasyonu ortaya çıkaran Cisco Talos’taki araştırmacılara göre, Lazarus, ilk erişim için halka açık VMWare Horizon açıklarından yararlanarak Şubat ve Temmuz 2022 arasında enerji kuruluşlarını hedef aldı.
Oradan, ‘VSingle’ ve ‘YamaBot’ gibi özel kötü amaçlı yazılım ailelerini ve virüslü cihazlardan veri aramak ve çalmak için kullanılan ‘MagicRAT’ adlı önceden bilinmeyen bir uzaktan erişim truva atı (RAT) kullandılar.
Symantec’in tehdit avcıları aynı kampanyayı analiz etti Nisan içinde ve ASEC araştırmacıları Mayısta. Bununla birlikte, Cisco’nun raporu, tehdit aktörünün etkinliği hakkında daha fazla ayrıntıyı ortaya çıkarmak için daha derine iniyor.
Çoklu saldırı stratejileri
Cisco Talos, Lazarus’un en son tekniklerini, taktiklerini ve prosedürlerini (TTP’ler) gösteren ve sofistike bilgisayar korsanlığı grubunun çok yönlülüğünü vurgulayan birkaç saldırı stratejisi sunar.
İlk durumda, tehdit aktörleri, güvenliği ihlal edilmiş uç noktada rastgele komutlar çalıştırmak için bir ters kabuk oluşturan kabuk kodunu çalıştırmak için Log4Shell kusurlarına karşı savunmasız VMWare sunucularından yararlanır.
VMWare Horizon yüksek ayrıcalıklarla çalıştığı için Lazarus, VSingle’ı dağıtmadan önce kayıt defteri anahtarı değişiklikleri, WMIC ve PowerShell komutları aracılığıyla Windows Defender’ı devre dışı bırakabilir.
VSingle arka kapısı, gelişmiş ağ keşif komutlarını destekler, kimlik bilgilerinin çalınması için zemin hazırlar, ana bilgisayarda yeni yönetici kullanıcılar oluşturur ve son olarak, işlevselliğini zenginleştiren eklentileri getirmek için C2 ile bir ters kabuk bağlantısı kurar.
Raporda sunulan ve farklı bir kurbanla ilgili ikinci vakada, ilk erişim ve keşif benzer kalıpları takip ediyor, ancak bu sefer bilgisayar korsanları MagicRAT’ı VSingle ile birlikte düşürdü.
Talos yayınlandı MagicRAT’ta ayrı bir gönderi dün, daha önce görülmemiş bu truva atının tüm işlevlerini detaylandırdı.
MagicRAT, gerekli zamanlanmış görevleri oluşturan, sistem keşfine yardımcı olan ve TigerRAT gibi C2’den ek kötü amaçlı yazılımlar getiren sabit kodlanmış komutları yürüterek kendi başına kalıcılık sağlayabilir.
Üçüncü izinsiz giriş durumunda, Lazarus, Go’da yazılmış ve aşağıdakiler gibi standart RAT özelliklerine sahip özel bir kötü amaçlı yazılım olan YamaBot’u dağıtır:
- Dosyaları ve dizinleri listeleyin.
- İşlem bilgilerini C2’ye gönderin.
- Uzak konumlardan dosya indirin.
- Uç noktalarda rastgele komutlar yürütün.
- kendini kaldır
Japon CERT, YamaBot’u Lazarus’a bağladı Temmuz 2022’deşifreli C2 iletişim yeteneklerini vurgulayarak.
Lazarus saldırı zinciri çeşitlendirmesi, son kötü amaçlı yazılım yükleriyle sınırlı değildir, proxy veya ters tünel oluşturma araçlarına ve kimlik bilgisi toplama tekniklerine kadar uzanır.
Bazı durumlarda, bilgisayar korsanları Mimikatz ve Procdump araçlarını kullanırken, diğerlerinde AD kimlik bilgilerini içeren kayıt defteri kovanlarının kopyalarını sızdırdılar.
“Bir durumda, saldırganlar PowerShell cmdlet’leri aracılığıyla bir uç noktada Active Directory bilgilerini almaya çalıştı. Ancak bir gün sonra saldırganlar aynı uç noktada benzer bilgileri çıkarmak için adfind.exe’yi kullandılar.” Raporda Cisco Talos’u açıklıyor.
Bu varyasyonların arkasındaki fikir, TTP’leri karıştırmak ve olay müdahale ekipleri için ilişkilendirme, tespit ve savunmayı daha zor hale getirmektir.
Bu raporda vurgulandığı gibi, Lazarus siber güvenlik firmaları tarafından yakından izleniyor, bu nedenle saldırı zincirlerini çeşitlendirme konusunda tembel olmayı göze alamazlar.
Saldırılardaki bu çeşitlilik, Lazarus hacker’ın geniş saldırı yelpazesionların dahil BT iş arayanların hedeflenmesi, sahte kripto para ticareti uygulamalarının oluşturulmasıoluşturulması truva atlı geliştirme araçları, fidye yazılımının tuzak olarak kullanılmasıve masif 620 milyon dolarlık kripto para hırsızlığı Ronin köprüsünden.