08 Mart 2023Ravie LakshmananSıfır Gün / BYOVD Saldırısı
Kuzey Kore bağlantılı Lazarus Grubu Açıklanmayan bir yazılımdaki kusurların, bir yıl içinde Güney Kore’deki bir finansal işletme varlığını iki kez ihlal etmek için silah haline getirildiği gözlemlendi.
Mayıs 2022’deki ilk saldırı, kamu kurumları ve üniversiteler tarafından yaygın olarak kullanılan bir sertifika yazılımının savunmasız bir sürümünün kullanılmasını gerektirirken, Ekim 2022’deki yeniden sızma, aynı programdaki bir sıfırıncı günün istismarını içeriyordu.
Siber güvenlik firması AhnLab Güvenlik Acil Müdahale Merkezi (ASEC) söz konusu “Güvenlik açığının henüz tam olarak doğrulanmaması ve bir yazılım yamasının yayınlanmaması” nedeniyle yazılımdan bahsetmekten kaçınıyor.
Düşman kolektif, bilinmeyen bir yöntemle ilk dayanak noktasını elde ettikten sonra, sıfır gün hatasını yanal hareket gerçekleştirmek için kötüye kullandı ve kısa bir süre sonra AhnLab V3 kötü amaçlı yazılımdan koruma motoru bir BYOVD saldırısıyla devre dışı bırakıldı.
Geçen yılın sonlarında hem ESET hem de AhnLab tarafından bir dizi raporda belgelendiği gibi, Kendi Savunmasız Sürücüsünü Getir, diğer adıyla BYOVD tekniğinin son aylarda Lazarus Group tarafından defalarca kullanıldığını belirtmekte fayda var.
Kötü amaçlı davranışını gizlemeye yönelik diğer adımlar arasında, dosya adlarını silmeden önce değiştirmek ve adli tıp tekniği olarak adlandırılan bir anti-adli teknik kullanarak zaman damgalarını değiştirmek yer alır. zaman damgası.
Saldırı, nihayetinde bir uzak komut ve kontrol (C2) sunucusuna bağlanmak ve ek ikili dosyaları alıp bunları dosyasız bir şekilde yürütmek için tasarlanmış birden çok arka kapı yükünün (Keys.dat ve Settings.vwx) yolunu açtı.
En Son Kötü Amaçlı Yazılım Kaçırma Taktiklerini ve Önleme Stratejilerini Keşfedin
Dosya tabanlı saldırılarla ilgili en tehlikeli 9 efsaneyi yıkmaya hazır mısınız? Yaklaşan web seminerimize katılın ve hasta sıfır enfeksiyonlarına ve sıfır gün güvenlik olaylarına karşı mücadelede bir kahraman olun!
KOLTUĞUNUZU AYIRTIN
Gelişme, ESET’in kötü şöhretli tehdit aktörü tarafından Wslink adlı bir kötü amaçlı yazılım yükleyici aracılığıyla dağıtılan WinorDLL64 adlı yeni bir implanta ışık tutmasından bir hafta sonra geldi.
“Lazarus grubu, diğer çeşitli yazılımların güvenlik açıklarını araştırıyor ve Kore kurumlarına ve şirketlerine sızmak için güvenlik ürünlerini devre dışı bırakma yöntemlerini değiştirerek ve tespit ve analize müdahale etmek veya geciktirmek için adli tıp teknikleri uygulayarak sürekli olarak TTP’lerini değiştiriyor.” ASEC dedi.
Popular Articles
- 27 Jul Galatasaray-Fenerbahçe Derbisinin Biletleri Satışa Sunuldu
- 22 Jul Volkswagenin Türkiyede Yatırımdan Vazgeçmesine Bakan Varanktan Eleştiri: Biz Değil, Volkswagen Kaybeder
- 19 Aug Tarot Falına Göre 15 Mayıs Çarşamba Günü Senin İçin Nasıl Geçecek?
- 13 Aug Hapis yerine resim yapma cezası
- 19 Jul İzmir açıklarında 14 düzensiz göçmen yakalandı
Latest Articles
- 16 Aug Cyberpunk 2077: Phantom Liberty Genişletme Sürümü 2023’te Başlıyor, Edgerunners Güncellemesi Şimdi Çıkıyor
- 18 Aug Zoom kendi e-posta ve takvim hizmetlerini başlattı
- 14 Jul IOS 9 ile artış gösteren Saklama alanı dolmak üzere uyarısı yeni güncellemeyle çözüldü
- 03 Aug Amazon, Hindistanda hızlı moda ve yaşam tarzı ürünlerini satmak için Bazaarı sessizce başlattı
- 14 Aug Muhteşem Razr+ (2023) 350 dolar daha ucuz ve Amazon’daki en iyi fiyatıyla satışta