Lazarus grubu, her zaman APT saldırılarına özgü ancak finansal siber suçlar konusunda uzmanlaşmış yöntemleri kullanmakla tanınıyor. Son zamanlarda, uzmanlarımız, Lazarus’un denediği yeni, daha önce keşfedilmemiş VHD kötü amaçlı yazılımları tespit etti.
İşlevsel olarak, VHD oldukça standart bir fidye yazılımıdır. Kurbanın bilgisayarına bağlı sürücüler arasına sızar, dosyaları şifreler ve tüm Sistem Birim Bilgisi klasörlerini siler. Böylece Windows’ta Sistem Geri Yükleme girişimlerini sabote eder. Dahası, önemli dosyaları değişiklikten (Microsoft Exchange veya SQL Server gibi) koruyabilecek işlemleri askıya alabilir.
Ama asıl ilginç olan durum, VHD’nin hedef bilgisayarlara nasıl ulaştığıdır. Çünkü dağıtım mekanizmalarının APT saldırılarıyla daha fazla ortak noktası vardır. Uzmanlarımız geçtiğimiz günlerde birkaç VHD vakasını araştırdı ve her bir vakada saldırganların hareketlerini analiz etti.
Mağdurun ağı üzerinden yanal hareket
İlk vakada uzmanlarımızın dikkatini VHD’yi hedef ağ üzerinden yayan kötü amaçlı koda çekti. Fidye yazılımı, kurbanın bilgisayarlarının IP adreslerinin yanı sıra yönetici haklarına sahip hesaplar için kimlik bilgilerine sahip olduğu ortaya çıktı. Bu verileri KOBİ hizmetine kaba kuvvet saldırıları için kullanıyor. Kötü amaçlı yazılım, SMB protokolünü kullanarak başka bir bilgisayarın ağ klasörüne bağlanmayı başardıysa o makineyi de şifreleyerek kendisini kopyalayıp yürütür.
Bu tür davranışlar, toplu fidye yazılımları için çok tipik bir özellik değildir. Daha çok APT kampanyalarının karakteristik özelliği olan kurbanın altyapısının en azından ön keşifini önerir.
Enfeksiyon zinciri
Küresel Acil Durum Müdahale Ekibimiz bir araştırma sırasında bu fidye yazılımıyla bir daha karşılaştığında, bu sefer tüm enfeksiyon zincirini takip edebildi. Ekibimizin söylediklerine göre siber suçlular:
- Savunmasız bir VPN ağ geçidinden yararlanarak kurbanların sistemlerine erişim sağlandı;
- Güvenliği ihlal edilen makinelerde yönetici hakları elde edildi;
- Bir arka kapı kurdu;
- Active Directory sunucusunun denetimini ele geçirdi;
- Görev için özel olarak yazılmış bir yükleyici kullanarak VHD fidye yazılımı ile ağdaki tüm bilgisayarlara bulaştı.
Kullanılan araçların detaylı analizi, arka kapının çok platformlu MATA çerçevesinin (bazı meslektaşlarımız Dacls olarak adlandırıyor) bir parçası olduğunu gösterdi. Bunun başka bir Lazarus aracı olduğu sonucuna vardık.
Securelist blogumuzdaki ilgili bir makalede, bu araçların risk Göstergesi ile birlikte ayrıntılı bir teknik analizini bulabilirsiniz.
Şirketinizi nasıl korursunuz
VHD fidye yazılımı aktörleri, kurumsal bilgisayarlara bir şifreleyici bulaştığında oldukça başarılı olur. Bu kötü amaçlı yazılım korsan forumlarında genellikle bulunmaz. Bunun yerine, özellikle hedefli saldırılar için geliştirilmiştir. Mağdurun altyapısına nüfuz etmek ve ağ içinde yaymak için kullanılan teknikler, karmaşık APT saldırılarını hatırlıyor.
Finansal siber suç araçları ve APT saldırıları arasındaki sınırların kademeli olarak kaybolması, küçük şirketlerin bile daha gelişmiş güvenlik teknolojileri kullanmayı düşünmeleri gerektiğini gösteriyor. Bunu aklımızda tutarak son zamanlarda hem Uç Nokta Koruma Platformu (EPP) hem de Uç Nokta Tespit ve Yanıt (EDR) işlevselliğine sahip entegre bir çözüm sunduk. Çözüm hakkında özel sayfasında hakkında daha fazla bilgi edinebilirsiniz.