Kuzey Kore Bağlantılı NukeSped RAT

Fortinet güvenlik araştırmacıları, Kuzey Koreli tehdit oyuncuları tarafından kullanılan ve diğer kötü amaçlı yazılım aileleriyle benzerlikleri paylaşan, NukeSped isimli  kötü amaçlı yazılım hakkında bir inceleme yayınladı.

Uzaktan erişim Trojan’ı (RAT-Remote Access Trojan), ABD hükümeti tarafından Hidden Cobra olarak izlenen devlet destekli Lazarus Group ile ilişkili . Geçen yıl, güvenlik araştırmacıları birçok Kuzey Kore hack grubunu Lazarus’a kod kullanımıyla bağladılar ve yeni analiz edilen örnekler bu bağlantıyı güçlendirdi.

Fortinet araştırmacıları tarafından analiz edilen kötü amaçlı yazılım örnekleri , 32 bit sistemler için derlendikleri gerçeğinden başlayarak birden fazla özelliği paylaşdığını ortaya koyuyor. Ayrıca, analizleri engellemek için şifreli dizeler içeriyorlar ve 4 Mayıs 2017 – 13 Şubat 2018 tarihleri ​​arasında derleme zaman damgalarına sahipler.

Örneklerin çoğu, Korece için bir dil kimliğine sahiptir ve bazı durumlarda Fortinet’in güvenlik araştırmacıları, bazı işlevlerin yeniden kullanıldığını tespit ettiler.

Kötü amaçlı yazılım, işlevleri dinamik olarak çözer; bu, ilk başta yalnızca birkaç API’yi başlattığını gösterir. Ayrıca, içe aktarma tablosunun kısa olduğu ve az sayıda ortak DLL ve işlevi içe aktardığı bulundu.

Araştırmacılar ayrıca NukeSped’in statik analizleri engellemek amacıyla API isimlerini şifrelediğini keşfetti . Ayrıca, yüklenmekte olan işlevlerin sırasının diğer örneklere çok benzer olduğunu da fark ettiler.

Kalıcılık için, RAT kendisini bir Run kayıt defteri anahtarına ekler, ancak bazı durumlarda kendisini bir hizmet-servis olarak yükler.

Kötü amaçlı yazılımın temel işlevi, saldırganlara virüslü ana bilgisayarın uzaktan yönetimine izin vermektir.

Trojanın özellikler listesi; bir klasördeki dosyaları yineleme, başka bir kullanıcı olarak bir işlem oluşturma, işlemleri ve modülleri yineleme, bir işlemi sonlandırma veya oluşturma, bir dosyayı yazma veya okuma, bir dosyayı taşıma, kurulu diskler hakkında bilgi alma becerisini içerir. disk türünü ve diskteki boş alan miktarını), geçerli dizini alıp  farklı bir dizine geçme.

Kötü amaçlı yazılım ayrıca uzaktaki bir ana bilgisayara bağlanabilir, İnternet’ten ek yükler alabilir ve başlatabilir ve virüs bulaşmış sistemden kendisini ve onunla ilişkili yapıları kaldırabilir.

Fortinet’in araştırmacıları , şifreli dizelerin modelinin analizine ve dizenin API yüklemesi için nasıl kullanıldığına ve aynı zamanda özellik setinin ve ana fonksiyonun yapısının  FALLCHILL’i hatırlattığından dolayı  Kuzey Kore ile bağlantılı olduğunu düşündüler.

Bu sonuç, aynı zamanda, NukeSped’in çoğu örneğinde belirli bir şifreleme bloğunun kullanımına ve HOPLIGHT ile paylaşılan bazı dosya adı referanslarının bulunmasına dayandığını da söylüyor . Bunun göre, 10 NukeSped örneğinden 7’si Korece’dir.

Fortinet, “Bugüne kadar elde edilen bütün kanıtlar göz önüne alındığında, NukeSped RAT’lerin Kuzey Kore tehdit oyuncuları (Hidden Cobra) ile bazı ilişkileri olduğu sonucuna varabiliriz” dedi.

About The Author

Reply