Kuzey Koreli APT Grubu Enerji Sağlayıcılarının Kurumsal Ağlarına Saldırıyor

Kuzey Koreli APT grubu Lazarus (APT38), VMWare Horizon sunucularını istismar ederek enerji sağlayıcılarının kurumsal ağlarına saldırıyor.

Grup tarafından saldırıya uğrayan enerji sağlayıcılarının kurumsal ağları aşağıdaki ülkelerde bulunurken:

• Amerika Birleşik Devletleri
• Kanada
• Japonya

Son birkaç yıldır Lazarus, yürütülen bir dizi operasyonla tanınıyor ve devlet destekli bir tehdit grubu.

Uluslararası alanda, bu grubun tehdit aktörleri tarafından yüzlerce sofistike saldırı gerçekleştirildi. Aşağıda Lazarus grubu tarafından yürütülen başlıca operasyonlardan bahsettik:

• Casusluk
• Veri hırsızlığı
• Kripto para çalma saldırıları

Kullanılan Özel Kötü Amaçlı Yazılım Aileleri

Cisco Talos güvenlik analistleri, devam eden tehdit algılama çabalarının bir parçası olarak mevcut operasyonu ortaya çıkardı. Şubat ve Temmuz 2022 arasında Lazarus yönetimindeki enerji kuruluşlarına ilk erişim için bir dizi VMware Horizon istismarı kullanıldı.

Virüslü cihazları belirlemek ve hatta onlardan veri çalmak için, grubun operatörleri aşağıdakiler gibi özel kötü amaçlı yazılım aileleri kullandılar:

• VSingle
• YamaBot
• MagicRAT

Saldırı Akışı

Lazarus'un TTP'lerini ortaya çıkarmak ve çok yönlülüklerini göstermek için Cisco Talos, Lazarus tarafından kullanılan bir dizi saldırı stratejisi sunar.

İlk senaryoda, güvenlik açığından etkilenen VMWare sunucularının tehdit aktörleri tarafından istismar edildiğini belirtmek önemlidir. Esas olarak Log4Shell'e karşı savunmasız olan sunucuları hedef alırken.

Saldırı, güvenliği ihlal edilmiş uç noktada, üzerinde rasgele komutların yürütülebileceği ters bir shell oluşturan shell kodunu yürütmek üzere tasarlanmıştır.

VSingle'ı dağıtmadan önce Lazarus, aşağıdaki bileşenlerin yardımıyla Windows Defender'ı devre dışı bırakır:

• Kayıt defteri anahtarı değişikliği
• WMIC
• PowerShell komutları

VMWare Horizon'un yüksek ayrıcalıklarla çalışması nedeniyle bu mümkündür. Burada VSingle, aşağıdakiler gibi çeşitli sofistike özellikler sunan bir arka kapıdır (backdoor):

• Gelişmiş ağ keşif komutları desteklenir.
• Kimlik bilgisi hırsızlığına elverişli bir ortam oluşturur.
• Ana bilgisayarda yeni yönetici kullanıcıların oluşturulması gerçekleştirilir.
• Ters kabuk bağlantısı kurarak C2'nin işlevselliğini artıran eklentiler elde eder.

İkinci senaryodaki erişim ve keşif prosedürleri, ilk senaryoya benzer bir model izler. VSingle ve MagicRAT, bu sefer bilgisayar korsanları tarafından düşürülen diğer kötü amaçlı yazılımlardan ikisidir.

Bilgisayar korsanlığı grubu Lazarus, üçüncü senaryoda YamaBot'u dağıtır. Go programlama dilinde yazılmış özel bir kötü amaçlı yazılımdır.

YamaBot'un sunduğu birkaç standart RAT özelliği vardır, örneğin:

• Dosyaları ve dizinleri listeleyin.
• İşlem bilgilerini C2'ye gönderin.
• Uzak konumlardan dosya indirin.
• Uç noktalarda rasgele komutlar yürütün.
• Kendini kaldırın.

Mimikatz ve Procudumps, bazı durumlarda bilgisayar korsanları tarafından kullanılan iki araçtı. Bazı durumlarda, AD kimlik bilgileri de dahil olmak üzere kayıt defteri kovanlarının kopyalarının sızdırıldığı da bildirilmiştir.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.