Kuzey Kore kötü amaçlı yazılımı ve daha fazlası Black Hat ağında gözlemlendi • The Register


Black Hat konferans ağını savunmakla görevli kişiler çok sayıda tuhaf, bazen düşmanca faaliyet görüyor ve bu yıl Kim Jong-un’un ajanlarıyla bağlantılı kötü amaçlı yazılımları içeriyordu.

IronNet’in ekibi, infosec etkinliğinin Ağ Operasyonları Merkezi’ni (NOC) korumaya yardımcı olmalarının ikinci yılında, ekibin otopsi raporuna göre 31 kötü niyetli uyarıyı ve 45 oldukça şüpheli olayı işaretlediğini söyledi.

Elbette, Black Hat’ta tespit edilen tüm kötü amaçlı yazılımlar, cihazlara bulaşmayı ve kötü niyetli eylemler gerçekleştirmeyi amaçlamaz – bazıları sınıflardaki ve gösteri katındaki simüle edilmiş saldırılardan kaynaklanır. Bu nedenle Tor etkinliği ve DNS tüneli, bir kurumsal ağda alarmları tetikleyecek ve uyandıracak olsa da, siber güvenlik konferansında bunların düzenli katılımcı davranışı ve satıcı demoları olduğu ortaya çıktı.

Ancak güvenlik firmasının avcıları Peter Rydzynski, Austin Tippett, Blake Cahen, Michael Leardi, Keith Li ve Jeremy Miller, Shlayer, Kuzey Kore’ye atfedilen SHARPEXT ve NetSupport dahil olmak üzere ağda “birkaç” aktif kötü amaçlı yazılım bulaşmasını ortaya çıkardıklarını söyledi. FARE.

Dini Lider’in kendisiyle bağları olan kodla başlayalım.

Tehdit avcıları, “Konferans sırasında, dört benzersiz ana bilgisayardan Kuzey Kore kötü amaçlı yazılımı SHARPEXT ile ilişkili üç alana kadar çok sayıda çağrı gözlemledik.” belgelenmiş.

Volexity, Temmuz ayı sonlarında, bağlantılı Bu e-posta çalan kötü amaçlı yazılım, SharpTongue olarak da bilinen Pyongyang destekli Kimsuky ekibine gönderilmiştir. Onun dikkate değer çünkü kötü amaçlı yazılım – temelde Chromium tabanlı tarayıcılar için kötü amaçlı bir uzantıdır – kullanıcıların e-posta kimlik bilgilerini çalmak yerine, mesajları okur ve kurbanların gelen kutularında gezinirken web posta hesaplarından veri sızdırır. SHARPEXT uzantısı, başka bir güvenlik açığı veya bulaşma yolu yoluyla güvenliği ihlal edildiğinde, genellikle kurbanın Windows bilgisayarına yüklenir.

“Kuzey Koreli tehdit aktörlerinin ilgi gösterdiği göz önüne alındığında taviz veren güvenlik araştırmacıları IronNet’in ekibine göre, geçtiğimiz iki yılda Black Hat ağındaki Kuzey Kore SHARPEX kötü amaçlı yazılımına ilişkin gözlemlerimiz, pek çok siber araştırmacı ve güvenlik çalışanı tarafından kullanılması nedeniyle başlı başına dikkate değer.

Ancak, SHARPEX komut ve kontrol sunucularına yapılan DNS sorgularının “şaşırtıcı” olduğunu kabul ediyorlar. Bu etki alanlarından başarılı DNS yanıtları alınırken, DNS aramasından sonra herhangi bir giden iletişim olmadı.

Avcılar, “Coğrafi filtrelemenin burada devreye girmiş olması muhtemel, ancak bu şekilde yapılmasını beklemiyorduk ve DNS kullanarak sık sık gördüğümüz bir şey değil,” diye teoride bulundular. “Bu nedenle, bu faaliyetin arkasındaki nedene dair iyi bir cevabımız yok.”

Shlayer kötü amaçlı yazılım indirme

SHARPEXT’e ek olarak, NOC ayrıca bir Shlayer kötü amaçlı yazılım bir kurbanın bilgisayarını tamamen tehlikeye atan bir enfeksiyon, bize söylendi. Katılımcının bilgisayarı, etkinlikten önce kötü bir yazılım tarafından ele geçirilmiş olabilir. Tehdit avcıları şunları kaydetti:

Daha fazla araştırma, VirusTotal’da kötü amaçlı olarak işaretlenen ve “.zip” ile bitmeyen bir ZIP arşiv dosyasının alınmasına yönelik HTTP GET isteklerini ortaya çıkardı.

Ve Kaspersky’nin bu tehdit istihbarat firmasının raporunda ana hatlarıyla belirttiği tüm bu “yakın eşleşen” faaliyetler. analiz Shlayer Truva atı.

NetSupport RAT kokusu alıyorum

Bir başka katılımcının konferansa virüslü bir cihazla gelmesi durumunda, birisi NetSupport RAT (aka NetSupport Manager RAT) bilgisayarlarında.

Bu, birçok meşru uzaktan erişim aracı gibi, siber suçlular tarafından birinin makinesine el koymak, onları gözetlemek ve bilgi çalmak için sıklıkla kullanılır.

Etkilenen cihaz, harici bir sunucuya HTTP POST istekleri yaptı ve iletişimler Zscaler’ınkiyle yakından eşleşti. analiz bilgi çalan RAT’ın faaliyeti.

Tehdit avcıları, “Bu davayla ilgili endişe verici bir unsur, C2 altyapısının tamamen çalışır durumda ve yanıt veriyor olmasıydı” dedi. “Bu beklenmedik bir durumdu: Bu kötü amaçlı yazılımın yaşı göz önüne alındığında, yanıt vermeyen etkin olmayan C2 altyapısına sahip bunun gibi eski enfeksiyonları sık sık görüyoruz.”

Eh, daha kötü olabilirdi

Bununla birlikte, genel olarak, NOC ekibi, gösteride beklenenden daha düşük seviyedeki kötü niyetli faaliyetten hoş bir şekilde şaşırdı.

Las Vegas’taki yıllık bilgi güvenliği yaz kampına bu yıl yaklaşık 20.000 kişi katıldı, bu da 2021’dekinden üç kat daha fazla. NOC’yi savunan tüm organizasyonlar,” dedi IronNet ekibi.

Başka Siyah Şapka NOC savunucular Optiv, IBM X-Force, Cisco, NetWitness, Palo Alto Networks ve Gigamon’dan geldi.

IronNet ekibi, “2022’de ağ trafiği hacmi oranı, 5.000 kişi başına 0,63 Gb/saniye iken, 2021’de 5.000 kişi için 1,5 Gb/saniye idi.”

“Ayrıca, bu yıl beklediğimiz kadar gerçek kötü amaçlı yazılım etkinliğinden kaynaklanan kötü amaçlı etkinlik görmedik.”

Ve daha fazla katılımcının daha fazla sınıfa katılması daha yüksek genel tespit anlamına gelse de, “birebir katılımcı sayısındaki büyük artış göz önüne alındığında, otantik tespitlerin göreceli hacmi beklenenden daha düşüktü” dediler. “Bu eğilimin arkasındaki kesin nedeni bilmiyoruz, ancak bunu memnuniyetle karşılıyoruz.” ®



Kaynak : https://go.theregister.com/feed/www.theregister.com/2022/08/25/north_korean_malware_black_hat/

Yorum yapın