Yeni bulgular, Wslink adlı kötü amaçlı yazılım indiricisiyle ilişkili yeni bir arka kapı keşfedildiğini ve aracın muhtemelen Kuzey Kore'ye bağlı kötü şöhretli Lazarus Grubu tarafından kullanıldığını ortaya koyuyor.
ESET tarafından WinorDLL64 olarak adlandırılan yük, dosyalara sızabilen, üzerine yazabilen ve silebilen; PowerShell komutlarını çalıştırabilen ve temel makine hakkında kapsamlı bilgi edinebilen tam özellikli bir implanttır.
Diğer özellikleri arasında aktif oturumları listeleme, süreç oluşturma ve sonlandırma, sürücüleri numaralandırma ve dizinleri sıkıştırma yer alır.
Wslink ilk olarak Ekim 2021'de Slovak siber güvenlik firması tarafından belgelenmiş ve bellekte alınan modülleri çalıştırabilen "basit ama dikkat çekici" bir kötü amaçlı yazılım yükleyicisi olarak tanımlanmıştır.
ESET araştırmacısı Vladislav Hrčka, "Wslink yükleyicisi, ağ oturumlarına olan özel ilgisi nedeniyle daha sonra yanal hareket için kullanılabilir" dedi. "Wslink yükleyicisi, yapılandırmada belirtilen bir bağlantı noktasını dinler ve ek bağlantı istemcilerine hizmet verebilir ve hatta çeşitli yükler yükleyebilir."
Bugüne kadar Orta Avrupa, Kuzey Amerika ve Orta Doğu'da yalnızca birkaç tespitin gözlemlenmiş olması nedeniyle, kötü amaçlı yazılımdan yararlanan saldırıların oldukça hedefli olduğu söyleniyor.
Mart 2022'de ESET, zararlı yazılımın tespit edilmekten kaçınmak ve tersine mühendisliğe direnmek için "gelişmiş çok katmanlı sanal makine" gizleyici kullandığını ayrıntılı olarak açıkladı.
Lazarus Group ile olan bağlantılar, gelişmiş kalıcı tehdide atfedilen önceki kampanyaların (Operation GhostSecret ve Bankshot) davranış ve kodlarındaki örtüşmelerden kaynaklanmaktadır.
Bu, McAfee tarafından 2018'de ayrıntılı olarak açıklanan GhostSecret örnekleriyle benzerlikler içeriyor ve Wslink'in aynı davranışını yansıtan bir hizmet olarak çalışan bir "veri toplama ve implant kurulum bileşeni" ile birlikte geliyor.
ESET, yükün VirusTotal kötü amaçlı yazılım veritabanına bazı kurbanların bulunduğu Güney Kore'den yüklendiğini ve bunun da Lazarus'un katılımını doğruladığını söyledi.
Elde edilen bulgular, Lazarus Grubu'nun hedeflerine sızmak için kullandığı geniş bilgisayar korsanlığı araçları cephaneliğini bir kez daha gözler önüne seriyor.
ESET, "Wslink'in yükü, dosya manipülasyonu için araçlar sağlamaya, daha fazla kod yürütmeye ve muhtemelen daha sonra yanal hareket için kullanılabilecek temel sistem hakkında kapsamlı bilgi edinmeye adanmıştır" dedi.
thehackernews'dan alıntıdır.
Kayıtlar
Hiç yorum yok:
Yorum Gönder