OldukçaRAT
Kuzey Kore adına hareket eden kötü şöhretli bir bilgisayar korsanlığı topluluğu, Avrupa ve Amerika Birleşik Devletleri'ndeki sağlık kuruluşlarını ve kritik internet altyapısını hedef almak için yeni bir kötü amaçlı yazılım çeşidi kullandı. Araştırmacılar tarafından QuietRAT olarak tanımlanan bu gelişmiş kötü amaçlı yazılım türü, Lazarus APT grubu tarafından kullanılan, daha önce gözlemlenen kötü amaçlı yazılım türleriyle birçok özelliği paylaşıyor. Bununla birlikte, yüksek düzeyde bir karmaşıklığa sahip olması, savunmacıların analiz etmesini ve karşı koymasını çok daha zorlaştırıyor. Ek olarak, bilgisayar korsanları, araştırma bulgularında ayrıntılı olarak belirtildiği üzere, operasyonlarının ilk ihlal aşamasında açık kaynaklı araçlardan ve çerçevelerden de yararlandı.
İçindekiler
Lazarus, Siber Suç Ortamında Son Derece Aktif Bir Aktör Olmaya Devam Ediyor
Güvenlik analistleri, 2022'de 1,7 milyar dolar değerindeki kripto para birimini çaldığı iddiasıyla ün kazanan köklü Lazarus hack grubunun dahil olduğu bir dizi saldırı operasyonunu gün ışığına çıkardı. Dikkat çekici bir şekilde, bir yıldan kısa bir süre içinde bu grup, üç belgelenmiş kampanyayla bağlantılıydı. Siber suç operasyonları, bu operasyonlarda aynı altyapının yeniden kullanıldığını gösteriyor.
Lazarus'un açık kaynaklı araçları benimsemesi, bunun ilişkilendirme süreci üzerindeki etkisi ve kullanım döngüsünün hızlanması nedeniyle endişelere yol açtı. Bilgisayar korsanları, açık kaynaklı araçlar kullanarak şüpheleri en aza indirmeyi ve yetenekleri sıfırdan oluşturma ihtiyacını ortadan kaldırmayı başarıyor. Başlangıçta meşru savunma ve saldırı görevleri için tasarlanan çok sayıda açık kaynaklı aracın, çeşitli siber suçlu gruplarının kötü niyetli cephaneliklerinin bir parçası haline gelmesi dikkat çekicidir.
Popüler İş Yazılım Paketindeki Güvenlik Açıklarından Yararlanma
Bildirilen olaylar, ManageEngine ServiceDesk'i etkileyen bir güvenlik açığının kötüye kullanılmasını kapsıyor. ManageEngine tarafından sunulan paket, Fortune 100 kuruluşlarının çoğunluğu da dahil olmak üzere çok sayıda kuruluşta kullanım alanı bulmaktadır. Yazılım, BT altyapısının, ağların, sunucuların, uygulamaların, uç noktaların ve diğer işlevlerin yönetilmesinde kullanılır. Ocak ayında üründen sorumlu şirket, CVE-2022-47966 olarak tanımlanan güvenlik açığının varlığını resmi olarak kabul etti. Çeşitli güvenlik firmaları, kötü niyetli aktörler tarafından aktif olarak istismar edildiğine ilişkin uyarılar yayınladı.
QuietRAT Güvenliği Tehlike Altına Giren Cihazlarda Gizli Kalıyor
QuietRAT, bilgisayar korsanlarına ele geçirilen cihazdan bilgi toplama yetkisi verir. Tehdit ayrıca, önceden tanımlanmış süreler boyunca 'uyku' moduna girmesini sağlayan ve güvenliği ihlal edilmiş bir ağ içindeki varlığının gizlenmesini kolaylaştıran bir işlevle donatılmıştır.
Lazarus bilgisayar korsanları tarafından Nisan 2022'de tanıtılan öncüsü MagicRAT ile karşılaştırıldığında, QuietRAT oldukça küçük bir boyuta sahiptir. Öncelikle ihlal edilen ağdaki kalıcılık yeteneklerinin ihmal edilmesi nedeniyle yalnızca 4 ila 5 MB boyutundadır. Sonuç olarak, bilgisayar korsanlarının daha sonra ayrı bir kalıcılık özelliği eklemeleri gerekiyor.
İmplantlar arasındaki benzerlikler, QuietRAT'ın MagicRAT soyundan geldiğini gösteriyor. Qt çerçevesine olan ortak güvenlerinin ötesinde, her iki tehdit de, virüslü sistem üzerinde rastgele komutların yürütülmesi de dahil olmak üzere benzer işlevler sergiliyor.
Araştırmacılar, QuietRAT kötü amaçlı yazılımıyla birlikte, Lazarus Grubunun 'CollectionRAT' adı verilen daha önce bilinmeyen başka bir tehdidi kullandığını gözlemlediler. Bu kötü amaçlı yazılım, standart Uzaktan Erişim Truva Atı (RAT) yetenekleri sergileyerek, ele geçirilen sistemlerde rastgele komutlar yürütmesine olanak tanıyor.
