Μια κοινή έρευνα από το Hunt.io και την Ερευνητική Μονάδα Απειλής Acronis αποκάλυψε ένα εκτεταμένο δίκτυο υποδομών που χρηματοδοτούνται από τη Βόρεια Κορέα, αποκαλύπτοντας νέες συνδέσεις μεταξύ των επιχειρήσεων Lazarus και Kimsuky σε παγκόσμιες εκστρατείες.
Η έρευνα αποκάλυψε ενεργούς διακομιστές εγκατάστασης εργαλείων, περιβάλλοντα κλοπής διαπιστευτηρίων, κόμβους διοχέτευσης σήραγγας FRP και ένα ύφασμα υποδομής συνδεδεμένο με πιστοποιητικό που ελέγχεται από χειριστές της ΛΔΚ.
Αυτή η ανακάλυψη παρέχει άνευ προηγουμένου ορατότητα για το πώς αυτοί οι παράγοντες απειλών διατηρούν επίμονη πρόσβαση και συντονίζουν τις επιθέσεις τους σε πολλούς στόχους ταυτόχρονα.
Η έρευνα εντόπισε μια νέα παραλλαγή Linux του Badcall backdoor, μιας οικογένειας κακόβουλου λογισμικού που είχε προηγουμένως εμφανιστεί στην επίθεση της αλυσίδας εφοδιασμού 3CX.
Αυτή η ενημερωμένη έκδοση περιλαμβάνει βελτιωμένες δυνατότητες καταγραφής, εγγραφή καταχωρήσεων με χρονική σήμανση /tmp/sslvpn.log με σύντομους αριθμητικούς κωδικούς που παρακολουθούν λειτουργίες κακόβουλου λογισμικού.
Ο μηχανισμός καταγραφής βοηθά τους εισβολείς να επιβεβαιώσουν τη σωστή εκτέλεση και να παρακολουθούν τη συμπεριφορά σε όλες τις εισβολές. Οι αναλυτές του Hunt.io εντόπισαν αυτή την παραλλαγή που φιλοξενείται σε υποδομές που προηγουμένως συνδέονταν με καμπάνιες Lazarus, υποδεικνύοντας τη συνεχιζόμενη ανάπτυξη κακόβουλου λογισμικού της ομάδας.
.webp.jpeg "Ερευνητές ανακάλυψαν τη νέα υποδομή Lazarus και Kimsuky με ενεργά εργαλεία και κόμβους σήραγγας")
Οι ερευνητές του Hunt.io σημείωσαν ότι η υποδομή αποκαλύπτει συνεπή λειτουργικά πρότυπα σε όλες τις υποομάδες της ΛΔΚ.
Οι ανοιχτοί κατάλογοι χρησιμεύουν ως σημεία γρήγορης τοποθέτησης, αναπτύσσοντας επανειλημμένα κιτ κλοπής διαπιστευτηρίων και σήραγγες FRP στις ίδιες θύρες σε πολλούς κεντρικούς υπολογιστές VPS.
Οι εισβολείς επαναχρησιμοποιούν πιστοποιητικά που συνδέουν ξεχωριστά συμπλέγματα με τους ίδιους τελεστές, δημιουργώντας ένα ανιχνεύσιμο αποτύπωμα ακόμα και όταν αλλάζουν κακόβουλο λογισμικό ή δέλεαρ.
Αυτά τα μοτίβα επιτρέπουν την παρακολούθηση μέσω ανάλυσης υποδομής αντί να βασίζονται αποκλειστικά στην εξέταση ωφέλιμου φορτίου.
Η έρευνα αποκάλυψε πολλούς ενεργούς κόμβους υποδομής. Ένας διακομιστής στο 207.254.22.248:8800 εξέθεσε μια εργαλειοθήκη κλοπής διαπιστευτηρίων 112 MB που περιέχει δυαδικά αρχεία MailPassView, WebBrowserPassView, ChromePass και rclone για εξαγωγή δεδομένων.
.webp.jpeg "Ερευνητές ανακάλυψαν τη νέα υποδομή Lazarus και Kimsuky με ενεργά εργαλεία και κόμβους σήραγγας")
Ένας άλλος κόμβος στο 149.28.139.62:8080 φιλοξένησε ένα περιβάλλον Quasar RAT με 270 MB εργαλείων.
Η πιο σημαντική ανακάλυψη ήταν το 154.216.177.215:8080, το οποίο εξέθεσε σχεδόν 2 GB λειτουργικών δεδομένων, συμπεριλαμβανομένων επιθετικών εργαλείων ασφαλείας, κλοπών κωδικών πρόσβασης προγράμματος περιήγησης, δυαδικών αρχείων κλιμάκωσης προνομίων και τεχνουργημάτων ανάπτυξης.
Αναλυτές Hunt.io αναγνωρισθείς Αυτοί οι ανοιχτοί κατάλογοι ως κρίσιμα σημεία στάσης για γρήγορη ανάπτυξη κατά τη διάρκεια εισβολών.
Κόμβοι σήραγγας FRP
Οι ερευνητές βρήκαν οκτώ κόμβους σήραγγας FRP που εκτελούνται στη θύρα 9999 σε κεντρικούς υπολογιστές VPS της Κίνας και της περιοχής APAC, ο καθένας από τους οποίους εξυπηρετεί πανομοιότυπα δυαδικά αρχεία 10 MB.
Αυτή η ομοιομορφία υποδηλώνει αυτοματοποιημένη παροχή και όχι χειροκίνητη διαμόρφωση. Οι κόμβοι λειτουργούν ως ανακατευθύνσεις μεταξύ παραβιασμένων κεντρικών υπολογιστών και διακομιστών που ελέγχονται από τον χειριστή, παρέχοντας αξιόπιστη πρόσβαση ακόμη και όταν τα παραδοσιακά κανάλια C2 είναι αποκλεισμένα.
Η ανάλυση πιστοποιητικού συνέδεσε 12 διευθύνσεις IP με το θέμα hwc-hwp-7779700με 10 που σχετίζονται άμεσα με το κακόβουλο λογισμικό Lazarus στη θύρα 443. Αυτό το πιστοποιητικό επαναχρησιμοποίησης εκθέτει ολόκληρα συμπλέγματα υποδομής προτού γίνουν ενεργά σε καμπάνιες.
Ο μηχανισμός μόλυνσης του κακόβουλου λογισμικού ξεκινά με την επεξεργασία ορισμάτων γραμμής εντολών. Η παραλλαγή Badcall ελέγχει για ένα όρισμα αναγνωριστικού διεργασίας, προσομοιώνει μια εντολή kill μέσω της συνάρτησης FakeCmd και, στη συνέχεια, αυτοκατασκευάζεται για να ξεκινήσει τις κύριες λειτουργίες.
Το παρακάτω απόσπασμα κώδικα δείχνει τη συνάρτηση καταγραφής που γράφει καταχωρήσεις με χρονική σήμανση:-
void logMessage(const char *message) {
time_t now = time(NULL);
struct tm *t = localtime(&now);
char timestamp[20];
strftime(timestamp, sizeof(timestamp), "%Y-%m-%d %H:%M:%S", t);
fprintf(log_file, "[%s] %s\n", timestamp, message);
}%20Function%20(Source%20-%20Hunt.io).webp.jpeg "Ερευνητές ανακάλυψαν τη νέα υποδομή Lazarus και Kimsuky με ενεργά εργαλεία και κόμβους σήραγγας")
Αυτό δείχνει τη λίστα παραπομπών της συνάρτησης logMessage, υπογραμμίζοντας τον τρόπο με τον οποίο το Badcall καταγράφει τώρα τη δραστηριότητα σε διάφορες ρουτίνες κακόβουλου λογισμικού.
Οι αριθμητικοί κωδικοί στις καταχωρίσεις ημερολογίου ποικίλλουν ανάλογα με τη λειτουργία, επιτρέποντας στους εισβολείς να παρακολουθούν τη συμπεριφορά κακόβουλου λογισμικού καθ’ όλη τη διάρκεια της εισβολής.
Τα Defenders μπορούν να ανιχνεύσουν αυτήν τη δραστηριότητα παρακολουθώντας εκτεθειμένους καταλόγους που περιέχουν εργαλεία συλλογής διαπιστευτηρίων, δυαδικά αρχεία FRP στη θύρα 9999, θέματα πιστοποιητικών που επαναχρησιμοποιούνται σε κεντρικούς υπολογιστές με δυνατότητα RDP και υποδομή που παρέχεται μέσω των ίδιων τοπικών παρόχων.
Αυτά τα σήματα παρέχουν εκ των προτέρων προειδοποίηση για τη δραστηριότητα της ΛΔΚ καθώς σχηματίζεται, όχι μόνο μετά την έναρξη των εισβολών. Η έρευνα δείχνει ότι η ανάλυση υποδομής προσφέρει πιο αξιόπιστη παρακολούθηση από την εξέταση ωφέλιμου φορτίου μόνο, εκθέτοντας τις σταθερές λειτουργικές συνήθειες που καθορίζουν τις επιχειρήσεις στον κυβερνοχώρο της Βόρειας Κορέας.
Related Posts
Η κρίσιμη ευπάθεια Plesk επιτρέπει στους χρήστες του Plesk να αποκτήσουν πρόσβαση σε επίπεδο ρίζας
500+ περιπτώσεις Apache Tika Toolkit ευάλωτες σε κρίσιμη επίθεση XXE που εκτίθενται στο διαδίκτυο
Το νέο Multi-Platform 01flip Ransomware υποστηρίζει αρχιτεκτονική πολλαπλών πλατφορμών, συμπεριλαμβανομένων των Windows και του Linux
