SIGNBT Kötü Amaçlı Yazılım
Kuzey Kore ile bağlantılı Lazarus Grubu'nun yakın zamanda düzenlenen bir siber saldırının faili olduğu belirlendi. Bu operasyonda kimliği belirlenemeyen bir yazılım satıcısı, öne çıkan bir yazılımdaki bilinen güvenlik açıklarından yararlanılarak gerçekleştirilen bir saldırının kurbanı oldu. Bir dizi saldırı sonuçta SIGNBT de dahil olmak üzere tehditkar yazılım ailelerinin ortaya çıkmasına yol açtı.
Ayrıca saldırganlar, potansiyel kurbanların profilini çıkarmak ve yükleri teslim etmek gibi faaliyetler için bu tehdit aktörünün yaygın olarak kullandığı, yaygın olarak tanınan bir bilgisayar korsanlığı aracından yararlandı. Bu araca, izleme çabalarında LPEClient adı verilmektedir.
İçindekiler
APT (Gelişmiş Kalıcı Tehdit) Hacker Grubu Aynı Kurbanı Defalarca Hedefledi
Bu saldırıda SIGNBT kötü amaçlı yazılımının kullanılması, çok yönlü bir enfeksiyon sürecini ortaya koydu ve gelişmiş teknikler kullandı. Lazarus Grubu, diğer yazılım geliştiricilerin güvenliğini tehlikeye atmak amacıyla hedeflenen şirketin yazılımındaki güvenlik açıklarından yararlanmaya devam etti. En son faaliyetlerinde, Temmuz 2023 ortası itibarıyla çok sayıda mağdur tespit edildi.
Bu kurbanlar, web iletişimlerini dijital sertifikalar aracılığıyla şifrelemek için tasarlanmış yasal bir güvenlik yazılımı aracılığıyla bir saldırıya maruz kaldı. Yazılımın adı açıklanmadı ve SIGNBT'yi dağıtmak için silah haline getirildiği kesin yöntem açıklanmadı.
Saldırı dizileri, tehlikeye atılmış sistemler üzerinde bir dayanak oluşturmak ve bunu sürdürmek için bir dizi strateji kullanmanın yanı sıra, SIGNBT kötü amaçlı yazılımını başlatmak için bir kanal görevi gören bir bellek içi yükleyici kullandı.
SIGNBT Kötü Amaçlı Yazılım Ek Talimatlar İçin Bir C2 Sunucusuyla İletişime Geçiyor
SIGNBT'nin birincil amacı, uzak bir sunucuyla iletişim kurmak ve virüslü ana bilgisayarda yürütülmek üzere daha fazla talimat almaktır. Bu kötü amaçlı yazılım, adını HTTP tabanlı komuta ve kontrol (C2) iletişimlerinde "SIGNBT" ön ekiyle gelen farklı dizeleri kullanmasından alıyor:
- SIGNBTLG, ilk bağlantı için
- SIGNBTKE, C2 sunucusundan bir BAŞARI mesajı alındığında sistem meta verilerini toplamak için
- SIGNBTGC, komutları almak için
- SIGNBTFI, iletişim arızalarını gidermek için
- SIGNBTSR, başarılı iletişimi belirtmek için
Bu arada Windows arka kapısı, kurbanın sistemi üzerinde kontrol sahibi olmayı amaçlayan çok çeşitli yeteneklerle donatılmıştır. Bu yetenekler arasında süreçlerin numaralandırılması, dosya ve dizin işlemlerinin gerçekleştirilmesi ve LPEClient gibi yüklerin dağıtılması ve kimlik bilgilerinin çıkarılmasına yönelik diğer araçlar yer alır.
Lazarus Grubu Tekniklerini ve Kötü Amaçlı Yazılım Arsenalini Geliştirmeye Devam Ediyor
Sadece 2023 yılında araştırmacılar en az üç farklı Lazarus kampanyası tespit etti. Bu kampanyalarda çeşitli izinsiz giriş yöntemleri ve enfeksiyon prosedürleri kullanıldı. Ancak, son aşamadaki güvenli olmayan yazılımı sunmak için sürekli olarak LPEClient kötü amaçlı yazılımını kullandılar.
Bu kampanyalardan biri Gopuram olarak bilinen bir implantın tanıtılmasında çok önemli bir rol oynadı. Bu implant, 3CX sesli ve görüntülü konferans yazılımının değiştirilmiş bir versiyonunu kullanarak kripto para şirketlerine yönelik siber saldırılarda kullanıldı.
Bu son bulgular, Kuzey Kore bağlantılı devam eden siber operasyonlara örnek teşkil ediyor ve Lazarus Grubunun araç, strateji ve teknik cephaneliğini sürekli olarak geliştirdiğini ve genişlettiğini vurguluyor. Lazarus Grubu, çağdaş siber güvenlik ortamında aktif ve uyarlanabilir bir tehdit aktörü olmaya devam ediyor.
