29 Haziran 2023Ravie LakshmananGüvenlik Açığı / Kötü Amaçlı Yazılım
Olarak bilinen Kuzey Kore bağlantılı tehdit aktörü Andariel adlı daha önce belgelenmemiş bir kötü amaçlı yazılımdan yararlandı. Erken Sıçan geçen yıl Log4j Log4Shell güvenlik açığından yararlanan saldırılarda.
Kaspersky, “Andariel, sırayla komut ve kontrol (C2) sunucusundan daha fazla kötü amaçlı yazılım indiren bir Log4j istismarı yürüterek makinelere bulaşıyor.” söz konusu yeni bir raporda.
Silent Chollima ve Stonefly olarak da adlandırılan Andariel, aynı zamanda APT38’i (aka MaviNoroff) ve şemsiye adı altında toplu olarak izlenen diğer alt öğeler Lazarus Grubu.
Tehdit aktörünün, stratejik çıkarları olan yabancı hükümet ve askeri kuruluşlara karşı casusluk saldırıları yürütmesinin yanı sıra, yaptırımlardan etkilenen ülkeye ekstra bir gelir kaynağı olarak siber suçlar gerçekleştirmesiyle biliniyor.
Cephaneliğindeki önemli siber silahlardan bazıları, Maui olarak adlandırılan bir fidye yazılımı türünü ve Dtrack (Valefor ve Preft olarak da bilinir), NukeSped (Manuscrypt olarak da bilinir), MagicRAT ve YamaBot gibi çok sayıda uzaktan erişim truva atı ve arka kapıyı içerir.
Nuke Hızı içerir süreçler oluşturmak ve sonlandırmak ve virüslü ana bilgisayarda dosyaları taşımak, okumak ve yazmak için bir dizi özellik. NukeSped’in kullanımı, ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi (CISA) tarafından TraderTraitor adı altında izlenen bir kampanyayla örtüşüyor.
Andariel’in yama uygulanmamış VMware Horizon sunucularındaki Log4Shell güvenlik açığını silah haline getirmesi daha önce 2022’de AhnLab Güvenlik Acil Müdahale Merkezi (ASEC) ve Cisco Talos tarafından belgelenmişti.
Kaspsersky tarafından keşfedilen en son saldırı zinciri, EarlyRat’ın sahte Microsoft Word belgeleri içeren kimlik avı e-postaları yoluyla yayıldığını gösteriyor. Dosyalar açıldığında, alıcılardan makroları etkinleştirmelerini ister, bu da truva atını indirmekten sorumlu VBA kodunun yürütülmesine yol açar.
Basit ama sınırlı bir arka kapı olarak tanımlanan EarlyRat, sistem bilgilerini toplamak ve uzak bir sunucuya sızdırmak ve ayrıca isteğe bağlı komutları yürütmek için tasarlanmıştır. Ayrıca, MagicRAT ile üst düzey benzerlikler paylaşıyor, adlı bir çerçeve kullanılarak yazıldığından bahsetmiyorum bile. Saf Temel. MagicRAT ise Qt Çerçevesini kullanır.
İzinsiz girişin diğer bir özelliği, hedefin daha fazla kullanılması için 3Proxy, ForkDump, NTDSDumpEx, Powerline ve PuTTY gibi kullanıma hazır yasal araçların kullanılmasıdır.
Kaspersky, “Bir APT grubu olmasına rağmen Lazarus, fidye yazılımı dağıtmak gibi tipik siber suç görevlerini yerine getirmesiyle tanınıyor ve bu da siber suç ortamını daha karmaşık hale getiriyor” dedi. “Ayrıca, grup çok çeşitli özel araçlar kullanıyor, sürekli olarak mevcut olanı güncelliyor ve yeni kötü amaçlı yazılımlar geliştiriyor.”
Popular Articles
- 08 Aug Bugün Hava Nasıl Olacak?
- 16 Aug DOĞUM GÜNÜN KUTLU OLSUN SEVGİLİ ASLAN Bugün 9 Ağustos 2016 :)
- 15 Aug Genelevde Çalışan Bir Seks İşçisi Kadının Fatih Koparana Anlattığı Çok İlginç Detaylar Sizi Düşündürecek
- 26 Jul Güney Okyanusu Resmileşti: Okyanus Sayısı 5e Yükseldi
- 13 Aug NASA SpaceX Crew-3 Dragon Uluslararası Uzay İstasyonundan Ayrılıyor
Latest Articles
- 18 Aug Microsoft’un, Telefonların Bile GTA Vi Kaldırmasını Sağlayacak Yeni Teknolojisi
- 07 Aug Tüm Dünyanın Başına Bela Olan Mavi Balina Oyunu İçin Hangi Ülke, Ne Tür Önlemler Alıyor?
- 03 Aug İnsan Beyninde Daha Önce Bilinmeyen Yeni Bir Kısım Keşfedildi
- 05 Aug Boğaziçi Üniversitesinde Ücretsiz Siber Güvenlik Kampı!
- 16 Jul Fethiye Belgesel Günleri başlıyor