Kuzey Koreli Bilgisayar Korsanları Saldırılarda Yeni 'KandyKorn' macOS Kötü Amaçlı Yazılım Kullanıyor

Güvenlik araştırmacıları, kötü şöhretli Kuzey Koreli bilgisayar korsanlığı grubu Lazarus'un son saldırılarda yeni macOS ve Windows kötü amaçlı yazılımları kullandığı konusunda uyarıyor.

Saldırılardan birinde, bir kripto para birimi değişim platformundaki blok zinciri mühendisleri, ilk erişim sağlamak için tasarlanmış bir Python uygulamasıyla hedef alındı ve sonuçta ikili dosyaların belleğe yüklenmesine neden oldu.

Saldırının bir parçası olarak Lazarus, halka açık bir Discord kanalında blok zinciri topluluğunun üyelerini taklit ederek kurbanı kötü amaçlı kod içeren bir arşiv indirmeye ikna etti.

Çeşitli kaçınma teknikleri ve yükleyicileri içeren çok aşamalı bir sürecin sonunda, hedef makinede KandyKorn adlı yeni bir macOS kötü amaçlı yazılımı yürütüldü ve saldırganların sistemden verilere erişmesine ve bunları sızdırmasına izin verildi.

Kötü amaçlı yazılım yüklendikten sonra, komuta ve kontrol (C&C) sunucusunun bilgi toplamasına, dizinleri listelemesine, çalışan işlemleri listelemesine, dosyaları indirmesine, dosya yüklemesine, dizinleri arşivlemesine ve sızdırmasına, dosyaları silmesine olanak tanıyan komutlar göndermesini bekler, işlemleri öldürür, bir terminal kullanarak komutları yürütür, bir kabuk oluşturur, sunucudan bir yapılandırma indirir, uyur ve çıkar.

"KandyKorn, izlemek, etkileşimde bulunmak ve tespit edilmekten kaçınmak için çeşitli yeteneklere sahip gelişmiş bir implanttır. Algılamaları atlayabilen doğrudan bellekli bir yürütme biçimi olan yansıtıcı yüklemeyi kullanır," diyor tehdidi tanımlayan ve analiz eden Elastic Security.

Lazarus'un ayrıca, uygulama satıcısının ekosistemindeki bilinen ancak yamalanmamış güvenlik açıklarından yararlanarak güvenliği ihlal edildikten sonra, web iletişimlerini şifrelemek için bir güvenlik yazılımı kullanan birkaç kurbana bir dizi saldırı düzenlediği gözlemlendi.

Kaspersky'nin açıklamasına göre, saldırının bir parçası olarak Lazarus, yalnızca bellekte çalışan bir yükleyici kullanılarak başlatılan Signbt adlı yeni bir Windows arka kapısı dağıttı.

C&C iletişimi kurduktan sonra, kötü amaçlı yazılım sistemin parmak izini alır ve bilgileri sunucuya gönderir. Ayrıca, yürütülecek komutlar için sunucuyu yoklar.

Signbt, saldırganlara kurban makinesi üzerinde tam kontrol sağlayarak, bilgi çalmalarına ve LPEClient kötü amaçlı yazılımı ve kimlik bilgisi boşaltma yardımcı programları dahil olmak üzere bellekte ek yükler dağıtmalarına olanak tanır.

"Tehdit aktörü, BT ortamlarını derinlemesine anladığını ve taktiklerini yüksek profilli yazılımlardaki güvenlik açıklarından yararlanmayı içerecek şekilde geliştirdi. Bu yaklaşım, ilk enfeksiyonlar elde edildikten sonra kötü amaçlı yazılımlarını verimli bir şekilde yaymalarına olanak tanıyor" diyor Kaspersky.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği