Kuzey Koreli Lazarus Grubu Bilinen Kusurları Kullanarak Yazılım Satıcısını Hedef Alıyor - Dünyadan Güncel Teknoloji Haberleri

Kuzey Koreli Lazarus Grubu Bilinen Kusurları Kullanarak Yazılım Satıcısını Hedef Alıyor - Dünyadan Güncel Teknoloji Haberleri


27 Ekim 2023Haber odasıSiber Saldırı / Kötü Amaçlı Yazılım

Kuzey Kore uyumlu Lazarus Grubu Adı açıklanmayan bir yazılım satıcısının, başka bir yüksek profilli yazılımdaki bilinen güvenlik kusurlarından yararlanarak tehlikeye atıldığı yeni bir kampanyanın arkasında bu saldırının olduğu düşünülüyor ” söz konusu Kötü amaçlı yazılım, HTTP tabanlı komuta ve kontrol (C2) iletişimlerinde “SIGNBT” ön ekiyle gelen ayırt edici dizeleri kullanması nedeniyle bu adı almıştır “Bu saldırıda kullanılan SIGNBT kötü amaçlı yazılımı, çeşitli bir enfeksiyon zinciri ve karmaşık teknikler kullandı Son faaliyet kapsamında, Temmuz 2023 ortası itibarıyla bazı kurbanların seçildiği söyleniyor

Şirkete göre kurbanlar, dijital sertifikalar kullanarak web iletişimlerini şifrelemek için tasarlanmış meşru bir güvenlik yazılımı aracılığıyla hedef alındı

Saldırı zincirleri, tehlikeye atılmış sistemlerde kalıcılık oluşturmak ve sürdürmek için çeşitli taktiklere güvenmenin yanı sıra, SIGNBT kötü amaçlı yazılımını başlatmak için bir kanal görevi gören bir bellek içi yükleyici kullanır Buna süreç numaralandırma, dosya ve dizin işlemleri ve LPEClient ve diğer kimlik bilgileri boşaltma yardımcı programları gibi yüklerin dağıtımı dahildir

Güvenlik araştırmacısı Seongsu Park, “Düşman, gelişmiş kaçırma teknikleri kullanarak ve kurban kontrolü için SIGNBT kötü amaçlı yazılımını tanıtarak yüksek düzeyde bir karmaşıklık gösterdi

Kaspersky’ye göre saldırı dizileri, tehdit aktörünün kurban profili oluşturma ve yük dağıtımı için kullandığı bilinen bir bilgisayar korsanlığı aracı olan SIGNBT ve LPEClient gibi kötü amaçlı yazılım ailelerinin konuşlandırılmasıyla sonuçlandı

  • SIGNBTLG, ilk bağlantı için
  • SIGNBTKE, C2 sunucusundan bir BAŞARI mesajı alındığında sistem meta verilerini toplamak için
  • SIGNBTGC, komutları almak için
  • SIGNBTFI, iletişim hatası için
  • Başarılı bir iletişim için SIGNBTSR

Windows arka kapısı, kurbanın sistemi üzerinde kontrol sağlamak için çok çeşitli yeteneklerle donatılmıştır

En son bulgular, Lazarus Grubunun sürekli gelişen ve genişleyen araç, taktik ve teknik cephaneliğinin bir kanıtı olmasının yanı sıra, Kuzey Kore bağlantılı siber operasyonların en son örneğidir

“Tehdit aktörü, yüksek profilli yazılımlardaki güvenlik açıklarından yararlanmayı da içerecek şekilde taktiklerini geliştirerek BT ​​ortamlarına ilişkin derin bir anlayış sergiledi

Kaspersky, çeşitli izinsiz giriş vektörleri ve bulaşma prosedürlerini kullanarak 2023 yılında en az üç farklı Lazarus kampanyası tespit ettiğini ancak son aşamadaki kötü amaçlı yazılımı sunmak için sürekli olarak LPEClient kötü amaçlı yazılımına güvendiğini söyledi Yazılımın adı açıklanmadı ve yazılımın SIGNBT’yi dağıtmak için hangi mekanizma tarafından silah haline getirildiği tam olarak bilinmiyor

Park, “Lazarus Grubu, günümüzün siber güvenlik ortamında son derece aktif ve çok yönlü bir tehdit aktörü olmaya devam ediyor” dedi ”



siber-2

Park, Lazarus Grubunun “diğer yazılım üreticilerini hedef alırken şirketin yazılımındaki güvenlik açıklarından yararlanmaya devam ettiğini” ekledi

SIGNBT’nin ana işlevi, uzak bir sunucuyla bağlantı kurmak ve virüslü ana bilgisayarda yürütülmek üzere diğer komutları almaktır

Böyle bir kampanya, 3CX sesli ve görüntülü konferans yazılımının truva atı haline getirilmiş bir versiyonunu kullanarak kripto para birimi şirketlerini hedef alan siber saldırılarda kullanılan Gopuram kod adlı bir implantın önünü açtı Bu yaklaşım, ilk bulaşmalar gerçekleştikten sonra kötü amaçlı yazılımlarını verimli bir şekilde yaymalarına olanak tanıyor ”

Rus siber güvenlik sağlayıcısı, istismar edilen yazılımı geliştiren şirketin birkaç kez Lazarus saldırısının kurbanı olduğunu, bunun da 3CX tedarik zinciri saldırısında olduğu gibi kaynak kodunu çalma veya yazılım tedarik zincirini zehirleme girişimine işaret ettiğini söyledi