Kuzey Koreli Bilgisayar Korsanları Saldırılarda Yeni 'KandyKorn' macOS Kötü Amaçlı Yazılım Kullanıyor
Güvenlik araştırmacıları, Kuzey Kore bağlantılı Lazarus Group ile ilişkili yeni macOS ve Windows kötü amaçlı yazılımlarını ortaya çıkardı.
Güvenlik araştırmacıları, kötü şöhretli Kuzey Koreli bilgisayar korsanlığı grubu Lazarus'un son saldırılarda yeni macOS ve Windows kötü amaçlı yazılımları kullandığı konusunda uyarıyor.
Saldırılardan birinde, bir kripto para birimi değişim platformundaki blok zinciri mühendisleri, ilk erişim sağlamak için tasarlanmış bir Python uygulamasıyla hedef alındı ve sonuçta ikili dosyaların belleğe yüklenmesine neden oldu.
Saldırının bir parçası olarak Lazarus, halka açık bir Discord kanalında blok zinciri topluluğunun üyelerini taklit ederek kurbanı kötü amaçlı kod içeren bir arşiv indirmeye ikna etti.
Çeşitli kaçınma teknikleri ve yükleyicileri içeren çok aşamalı bir sürecin sonunda, hedef makinede KandyKorn adlı yeni bir macOS kötü amaçlı yazılımı yürütüldü ve saldırganların sistemden verilere erişmesine ve bunları sızdırmasına izin verildi.
Kötü amaçlı yazılım yüklendikten sonra, komuta ve kontrol (C&C) sunucusunun bilgi toplamasına, dizinleri listelemesine, çalışan işlemleri listelemesine, dosyaları indirmesine, dosya yüklemesine, dizinleri arşivlemesine ve sızdırmasına, dosyaları silmesine olanak tanıyan komutlar göndermesini bekler, işlemleri öldürür, bir terminal kullanarak komutları yürütür, bir kabuk oluşturur, sunucudan bir yapılandırma indirir, uyur ve çıkar.
"KandyKorn, izlemek, etkileşimde bulunmak ve tespit edilmekten kaçınmak için çeşitli yeteneklere sahip gelişmiş bir implanttır. Algılamaları atlayabilen doğrudan bellekli bir yürütme biçimi olan yansıtıcı yüklemeyi kullanır," diyor tehdidi tanımlayan ve analiz eden Elastic Security.
Lazarus'un ayrıca, uygulama satıcısının ekosistemindeki bilinen ancak yamalanmamış güvenlik açıklarından yararlanarak güvenliği ihlal edildikten sonra, web iletişimlerini şifrelemek için bir güvenlik yazılımı kullanan birkaç kurbana bir dizi saldırı düzenlediği gözlemlendi.
Kaspersky'nin açıklamasına göre, saldırının bir parçası olarak Lazarus, yalnızca bellekte çalışan bir yükleyici kullanılarak başlatılan Signbt adlı yeni bir Windows arka kapısı dağıttı.
C&C iletişimi kurduktan sonra, kötü amaçlı yazılım sistemin parmak izini alır ve bilgileri sunucuya gönderir. Ayrıca, yürütülecek komutlar için sunucuyu yoklar.
Signbt, saldırganlara kurban makinesi üzerinde tam kontrol sağlayarak, bilgi çalmalarına ve LPEClient kötü amaçlı yazılımı ve kimlik bilgisi boşaltma yardımcı programları dahil olmak üzere bellekte ek yükler dağıtmalarına olanak tanır.
"Tehdit aktörü, BT ortamlarını derinlemesine anladığını ve taktiklerini yüksek profilli yazılımlardaki güvenlik açıklarından yararlanmayı içerecek şekilde geliştirdi. Bu yaklaşım, ilk enfeksiyonlar elde edildikten sonra kötü amaçlı yazılımlarını verimli bir şekilde yaymalarına olanak tanıyor" diyor Kaspersky.
Benzer Haberler
Dört REvil Ransomware Üyesi Nadir Rus Siber Suç Mahkumiyetlerinde Mahkum Edildi
Yeni Qilin.B Ransomware Varyantı, Geliştirilmiş Şifreleme ve Kaçınma Taktikleriyle Ortaya Çıkıyor
Yeni Grandoreiro Bankacılık Kötü Amaçlı Yazılım Varyantları, Tespit Edilmekten Kaçınmak İçin Gelişmiş Taktiklerle Ortaya Çıkıyor
ABD, iki Sudanlı kardeşi 35.000 DDoS saldırısı için suçladı
Yeni Kötü Amaçlı Yazılım Kampanyası, DarkVision RAT Sunmak için PureCrypter Loader'ı Kullanıyor
FBI, Yaygın Kripto Piyasası Manipülasyonunu Ortaya Çıkarmak İçin Sahte Kripto Para Birimi Oluşturuyor
OpenAI, Siber Suç ve Dezenformasyon için Yapay Zekayı Kullanan 20 Küresel Kötü Amaçlı Kampanyayı Engelliyor
Oyuncular, sahte hile komut dosyası motorları aracılığıyla Lua tabanlı kötü amaçlı yazılımları indirmeleri için kandırıldı