Lazarus Group lojistik şirketlerine saldırıyor: Küresel nakliye lojistiğindeki başarısızlıkların ciddi sonuçları olabilir. İster dijital ister analog: küresel nakliye lojistiği için arızalar özellikle zordur. Bu, ancak son zamanlarda Süveyş Kanalı'nın "Ever Given" konteyner gemisi tarafından bloke edilmesiyle gösterildi.
ESET araştırmacıları, Güney Afrika'daki bir nakliye lojistik şirketine düzenlenen saldırıda kullanılan, daha önce bilinmeyen bir arka kapıyı ortaya çıkardı. Kötü şöhretli Lazarus grubu kötü amaçlı yazılımın arkasında. Bu amaçla Avrupa bilişim güvenlik üreticisinin güvenlik uzmanları, hacker grubunun önceki operasyon ve prosedürleriyle benzerlikler keşfetti.
Backdoor Vyveva'nın casusluk yetenekleri var
Vyveva adlı arka kapı, hedef bilgisayarda bilgi toplamak ve Lazarus bilgisayarlarına iletmek gibi birden çok casusluk işlevine sahiptir. BT sistemlerinin kesintiye uğraması da mümkün olabilirdi. Casus yazılım, Komuta ve Kontrol (C&C) sunucusuyla Tor ağı aracılığıyla iletişim kurar. ESET araştırmacıları, sonuçlarını WeliveSecurity'de yayınladı.
"Vyveva, eski Lazarus örnekleriyle birçok kod benzerliği paylaşıyor. Ayrıca ağ iletişiminde sahte TLS protokolünün kullanılması, komut satırlarının zincirlenmesi, şifreleme ve Tor servislerinin kullanım şekli APT grubuna işaret ediyor. Bu nedenle, arka kapıyı büyük olasılıkla Lazarus grubuna bağlayabiliriz," diyor Vyveva'yı analiz eden ESET araştırmacısı Filip Jurčacko.
ESET araştırmacıları hedefli saldırıdan şüpheleniyor
Avrupalı BT güvenlik üreticisi tarafından yapılan araştırmalar, Vyveva'nın hedefli bir şekilde kullanıldığını gösteriyor. ESET araştırmacıları, kurbanın yalnızca Güney Afrikalı bir lojistik şirketinin sunucuları olan iki bilgisayarını bulabildiler. ESET araştırmacıları tarafından yapılan analiz, Vyveva'nın en az Aralık 2018'den beri kullanımda olduğunu ortaya çıkardı.
Tor ağı üzerinden iletişim
Arka kapı, hassas verilerin toplanması gibi bilgisayar korsanlığı grubu tarafından verilen komutları yürütür. Dosyalardaki zaman damgalarını değiştirmek için bir komut da vardır. Vyveva, Tor ağı aracılığıyla C&C sunucusuyla iletişim kurar ve onunla üç dakikalık aralıklarla iletişim kurar. Casus yazılım, etkilenen bilgisayar ve sürücüleri hakkında bilgi gönderir. Burada, virüslü sistemde belirli değişiklikler yapıldığında C&C sunucusuna bir mesaj gönderen sözde bekçi köpekleri kullanılır.
"Yeni bağlanan ve bağlantısı kesilen sürücüleri izleyen özel arka kapı bekçi köpekleri özellikle ilgi çekicidir. Aktif oturumların sayısını izleyen bir bekçi köpeği de vardır. Bu, örneğin kayıtlı kullanıcı sayısı olabilir. Bu bileşenler, C&C sunucusuna normal, önceden yapılandırılmış üç dakikalık aralığın dışında bir bağlantıyı tetikleyebilir," diye açıklıyor Jurčacko.
Daha fazlası ESET.com'da WeLiveSecurity'de
ESET Hakkında ESET, merkezi Bratislava'da (Slovakya) bulunan bir Avrupa şirketidir. 1987'den beri ESET, 100 milyondan fazla kullanıcının güvenli teknolojilerden yararlanmasına yardımcı olan ödüllü güvenlik yazılımı geliştirmektedir. Geniş güvenlik ürünleri portföyü, tüm büyük platformları kapsar ve dünya çapındaki işletmelere ve tüketicilere performans ile proaktif koruma arasında mükemmel bir denge sunar. Şirketin 180'den fazla ülkede küresel bir satış ağı ve Jena, San Diego, Singapur ve Buenos Aires'te ofisleri bulunmaktadır. Daha fazla bilgi için www.eset.de adresini ziyaret edin veya bizi LinkedIn, Facebook ve Twitter'da takip edin.