Haberler

Lazarus Grubu, ManageEngine Zafiyetini Kullanarak Saldırılar Düzenliyor

Kuzey Kore Devlet Destekli Hackerlar, İnternet Altyapı Sağlayıcısını ve Sağlık Kuruluşlarını Tehdit Etmek İçin ManageEngine zafiyetlerini kullanıyor.

Son haberlere göre, Kuzey Kore devlet destekli bir hacker grubu olan Lazarus, Zoho’nun ManageEngine ServiceDesk’in kritik bir zafiyeti olan CVE-2022-47966’ı kullanmakta. Bu saldırılar, bir internet altyapı sağlayıcısını ve sağlık kuruluşlarını hedeflemiş durumda.

Hedefleri Amerika Birleşik Devletleri ve Birleşik Krallık’taki kuruluşlara saldırı düzenlemek. Hackerlar QuiteRAT yazılımını yanı sıra güvenlik araştırmacıları tarafından CollectionRAT olarak adlandırılan yeni bir uzaktan erişim Truva atı (RAT)’ını kullanmakta.

İnternet Şirketlerine Yönelik Saldırılar

Cisco Talos araştırmacıları, 2023 yılının başlarında İngiltere merkezli internet şirketlerine karşı bir dizi saldırı gözlemledi. Lazarus, birden fazla Zoho ManageEngine ürününü etkileyen kimlik doğrulaması gerektirmeyen uzaktan kod yürütme zafiyeti olan CVE-2022-47966’i bir saldırıyı kullanmıştı.

Cisco Talos “2023 yılının başlarında Lazarus Grubu’nun Birleşik Krallık’taki bir internet altyapı sağlayıcısını başarıyla ele geçirip QuiteRAT’ı dağıttığını gözlemledik. Saldırganlar başlangıçta erişim sağlamak için zafiyet içeren ManageEngine ServiceDesk sürümünü kullanmışlardır,” şeklinde raporlandı.

Bu zafiyet public hale gelir gelmez Lazarus tarafından beş gün içinde bu zafiyeti kullanmaya başlandı. Birçok siber saldırgan da bu zafiyeti kullanarak saldırılar gerçekleştirdi. Rapid7, Shadowserver ve GreyNoise tarafından gözlemlenen bu saldırılar Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından organizasyonlara acil güncelleme uyarısı ile devam etti.

Zafiyet bir hedefi ele geçirmek için sömürüldükten sonra, Lazarus hackerları QuiteRAT yazılımını bir dış URL’den curl komutu kullanarak indirdi.

QuiteRAT’ın Yükselişi

Şubat 2023’te keşfedilen QuiteRAT, basit ancak etkili bir uzaktan erişim Truva atı olarak tanımlanıyor. Bu, Lazarus’un daha önce Amerika Birleşik Devletleri, Kanada ve Japonya’daki enerji sağlayıcılarını hedeflemek için kullandığı MagicRAT’a göre önemli bir evrimi temsil ediyor.

Araştırmacılar QuiteRAT’ın kodunun MagicRAT’ın kodundan daha sade olduğunu ve Qt kütüphanelerinin dikkatli bir şekilde seçilmesiyle boyutunun 18MB’dan 4MB’a düşürüldüğünü ve aynı işlevleri koruğunu belirtiyor.

CollectionRAT

Ayrı bir raporda Cisco Talos, Lazarus hackerlarının CollectionRAT adlı yeni yazılım kullandığını açıkladı. Bu keşif, araştırmacıların tehdit aktörünün diğer saldırılarda kullandığı altyapıyı incelediklerinde ortaya çıktı.

CollectionRAT’ın, Lazarus ekibinin bir alt grubu olarak kabul edilen Andariel (“Stonefly”) ile ilişkilendiriyor. CollectionRAT’ın yetenekleri, komut yürütme, dosya yönetimi, sistem bilgisi toplama, reverse shell oluşturma, yeni işlem başlatma, yeni payload yükleme ve kendini silme gibi çeşitli yetenekleri içeriyor.

CollectionRAT’ın ilginç bir özelliği, Microsoft Foundation Class (MFC) framework kullanılmasıdır, bu da ona kodunu anlık olarak şifrelemesine ve yürütmesine olanak tanırken tespiti önlemeye ve analizi engellemeye yardımcı olur.

Cisco Talos araştırmacıları tarafından tespit edilen Lazarus’un taktiklerindeki evrime dair ek işaretler, kimlik bilgilerini çalmak için Mimikatz gibi açık kaynaklı araçlar ve uzaktan tünel için PuTTY Link (Plink) gibi araçlarla birlikte DeimosC2’yi kullanarak daha fazla açık kaynaklı araç ve framework’un kullanılması.

Bu yaklaşım, Lazarus’un geride daha az belirgin iz bırakmasına ve bu nedenle izlemeyi ve etkili koruma önlemleri geliştirmeyi daha zor hale getiriyor.

Siber tehdit teknikleri devamla değişirken, Lazarus grubunun sofistike taktikleri, siber güvenlik gözlem ve proaktif savunma önlemlerinin önemini vurguluyor. Organizasyonlar, böyle tehditlere karşı korunmak için uyanık olmalı ve hızla güvenlik açıklarını ele almalıdır.

Kaynak: bleepingcomputer.com

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu