Lazarus Group, Uzaktan Erişim Truva Atlarını Dağıtmak için Log4j Açıklarını Kullanıyor

Lazarus Group olarak bilinen kötü şöhretli Kuzey Kore bağlantılı tehdit aktörü, güvenliği ihlal edilmiş ana bilgisayarlara daha önce belgelenmemiş uzaktan erişim truva atlarını (RAT'ler) dağıtmak için Log4j'deki güvenlik kusurlarından fırsatçı bir şekilde yararlanmayı içeren yeni bir küresel tehlikeye atfedildi.

Cisco Talos, komuta ve kontrol (C2) için Telegram'dan yararlanan NineRAT adlı bir RAT, DLRAT ve BottomLoader adlı bir indirici de dahil olmak üzere üç DLang tabanlı kötü amaçlı yazılım ailesinin kullanımına dikkat çekerek etkinliği Operation Blacksmith adı altında izliyor.

Siber güvenlik firması, düşmanın en son taktiklerini kesin bir değişim olarak nitelendirdi ve bunların Lazarus şemsiyesi içindeki bir alt grup olan Andariel (diğer adıyla Onyx Sleet veya Silent Chollima) olarak izlenen kümeyle örtüştüğünü söyledi.

Talos araştırmacıları Jung Soo An, Asheer Malhotra ve Vitor Ventura, The Hacker News ile paylaşılan teknik bir raporda, "Andariel tipik olarak Kuzey Kore hükümetinin ulusal çıkarlarını desteklemek için ilk erişim, keşif ve casusluk için uzun vadeli erişim sağlamakla görevlendirildi" dedi.

Saldırı zincirleri, NineRAT sunmak için CVE-2021-44228'in (diğer adıyla Log4Shell) genel olarak erişilebilen VMWare Horizon sunucularına karşı kullanılmasını içerir. Hedeflenen öne çıkan sektörlerden bazıları imalat, tarım ve fiziksel güvenliktir.

Veracode'a göre, uygulamaların yüzde 2,8'inin iki yıllık kamuya açıklamadan sonra hala kitaplığın savunmasız sürümlerini (2.0-beta9'dan 2.15.0'a kadar) kullandığı ve %3,8'inin CVE-2021-44228'e karşı savunmasız olmasa da CVE-2021-44832'ye duyarlı olan Log4j 2.17.0'ı kullandığı gerçeği göz önüne alındığında, Log4Shell'in kötüye kullanılması şaşırtıcı değil.

İlk olarak Mayıs 2022 civarında geliştirilen NineRAT'ın, Mart 2023 gibi erken bir tarihte Güney Amerika'daki bir tarım kuruluşunu hedef alan bir saldırıda ve ardından Eylül 2023'te bir Avrupa üretim kuruluşuna yönelik olarak kullanıldığı söyleniyor. C2 iletişimleri için Telegram gibi meşru bir mesajlaşma hizmeti kullanarak amaç, tespit edilmekten kaçınmaktır.

Kötü amaçlı yazılım, virüslü uç noktayla birincil etkileşim aracı olarak işlev görür ve saldırganların sistem bilgilerini toplamak, ilgilenilen dosyaları yüklemek, ek dosyalar indirmek ve hatta kendini kaldırıp yükseltmek için komutlar göndermesine olanak tanır.

Araştırmacılar, "NineRAT etkinleştirildiğinde, virüslü sistemlerin parmak izini tekrar almak için telgraf tabanlı C2 kanalından ön komutları kabul ediyor" dedi.

"Enfekte olmuş sistemlerin yeniden parmak izi, Lazarus tarafından NineRAT aracılığıyla toplanan verilerin diğer APT grupları tarafından paylaşılabileceğini ve esasen Lazarus tarafından ilk erişim ve implant yerleştirme aşamasında toplanan parmak izi verilerinden farklı bir havuzda bulunduğunu gösteriyor."

İlk keşiften sonraki saldırılarda ayrıca, daha önce Microsoft tarafından tehdit aktörü tarafından JetBrains TeamCity'deki kritik güvenlik açıklarını silahlandıran izinsiz girişlerin bir parçası olarak kullanıldığı tespit edilen HazyLoad adlı özel bir proxy aracı da kullanılıyor (CVE-2023-42793, CVSS puanı: 9.8). HazyLoad, BottomLoader adlı başka bir kötü amaçlı yazılım aracılığıyla indirilir ve yürütülür.

Ayrıca, Demirci Operasyonu'nun, sistem keşfi gerçekleştirmek, ek kötü amaçlı yazılım dağıtmak ve C2'den komutlar almak ve bunları güvenliği ihlal edilmiş sistemlerde yürütmek için donatılmış hem bir indirici hem de bir RAT olan DLRAT'ı teslim ettiği gözlemlendi.

Cisco Talos, The Hacker News'e verdiği demeçte, "DLRAT, MagicRAT ile başlayan, tespit edilmekten kaçınmak için modüler kötü amaçlı yazılımların yanı sıra egzotik/nadir diller ve çerçeveler kullanan Lazarus trendinde başka bir yinelemedir" dedi.

Araştırmacılar, "Çakışan arka kapı girişi sağlayan birden fazla araç, bir aracın keşfedilmesi durumunda Lazarus Group'a fazlalıklar sunarak son derece kalıcı erişim sağlıyor" dedi.

Log4Shell'in Andariel tarafından istismar edilmesi yeni değil, çünkü bilgisayar korsanlığı ekibi geçmişte EarlyRat olarak adlandırılan bir uzaktan erişim truva atı göndermek için güvenlik açığını ilk erişim vektörü olarak kullandı.

Açıklama, AhnLab Güvenlik Acil Durum Müdahale Merkezi'nin (ASEC), Kimsuky'nin Amadey ve RftRAT gibi kötü amaçlı yazılımların AutoIt sürümlerini kullandığını ve güvenlik ürünlerini atlamak amacıyla bubi tuzaklı ekler ve bağlantılar taşıyan hedef odaklı kimlik avı saldırıları yoluyla dağıttığını ayrıntılı olarak açıkladı.

APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (önceden Thallium), Nickel Kimball ve Velvet Chollima adlarıyla da bilinen Kimusky, Kuzey Kore'nin Lazarus Grubu'na da ev sahipliği yapan Keşif Genel Bürosu'na (RGB) bağlı bir unsurdur.

ABD Hazine Bakanlığı tarafından 30 Kasım 2023'te rejimin stratejik hedeflerini desteklemek için istihbarat topladığı için yaptırım uygulandı.

ASEC, geçen hafta yayınlanan bir analizde, "Virüslü sistemin kontrolünü ele geçirdikten sonra, bilgi sızdırmak için Kimsuky grubu, keylogger'lar ve web tarayıcılarından hesapları ve çerezleri çıkarmak için araçlar gibi çeşitli kötü amaçlı yazılımlar yüklüyor" dedi.

Ayrıca, "tehdit aktöründen gizlenmiş komutlar alan ve bunları XML biçiminde yürüten" bir arka kapı sunmak için Microsoft Word dosyası kılığına girmiş kötü amaçlı bir yürütülebilir dosya kullanan Konni bağlantılı yeni bir kimlik avı tehlikesi keşfini de takip ediyor.