Kuzey Koreli Bilgisayar Korsanları Tedarik Zinciri Saldırısında Truva Atı Haline Getirilmiş CyberLink Yazılımı Dağıtıyor

Microsoft Tehdit İstihbaratı ekibi Çarşamba günü yaptığı bir analizde, "Bu kötü amaçlı dosya, ikinci aşama bir yükü indiren, şifresini çözen ve yükleyen kötü amaçlı kod içerecek şekilde değiştirilmiş meşru bir CyberLink uygulama yükleyicisidir" dedi.

Teknoloji devi, zehirli dosyanın şirketin sahip olduğu güncelleme altyapısında barındırıldığını ve aynı zamanda yürütme için zaman penceresini sınırlamak ve güvenlik ürünleri tarafından algılamayı atlamak için kontroller içerdiğini söyledi.

Kampanyanın Japonya, Tayvan, Kanada ve ABD'de 100'den fazla cihazı etkilediği tahmin ediliyor Değiştirilmiş CyberLink yükleyici dosyasıyla ilişkili şüpheli etkinlik 20 Ekim 2023 gibi erken bir tarihte gözlemlendi.

Kuzey Kore ile bağlantılar, ikinci aşama yükünün, daha önce tehdit aktörü tarafından ele geçirilen komuta ve kontrol (C2) sunucularıyla bağlantı kurmasından kaynaklanmaktadır.

Microsoft ayrıca, saldırganların bilgi teknolojisi, savunma ve medya sektörlerindeki kuruluşları hedef almak için truva atı haline getirilmiş açık kaynaklı ve özel yazılımlar kullandığını gözlemlediğini söyledi.

TEMP olarak adlandırılan kümelerle birleşen Diamond Sleet. Hermit ve Labyrinth Chollima, Kuzey Kore kökenli ve Lazarus Grubu olarak da adlandırılan bir şemsiye gruba verilen takma addır. En az 2013'ten beri aktif olduğu biliniyor.

Google'ın sahibi olduğu Mandiant, geçen ay yaptığı açıklamada, "O zamandan beri operasyonları, Pyongyang'ın Kuzey Kore çıkarlarına fayda sağlamak için stratejik istihbarat toplama çabalarını temsil ediyor" dedi. "Bu aktör dünya çapında hükümet, savunma, telekomünikasyon ve finans kurumlarını hedef alıyor."

İlginç bir şekilde Microsoft, kod adı LambLoad olan kurcalanmış yükleyicinin dağıtımını takiben hedef ortamlarda herhangi bir uygulamalı klavye etkinliği tespit etmediğini söyledi.

Silahlı indirici ve yükleyici, hedef sistemi CrowdStrike, FireEye ve Tanium'dan güvenlik yazılımı olup olmadığını inceler ve yoksa, PNG dosyası gibi görünen uzak bir sunucudan başka bir yük getirir.

Microsoft, "PNG dosyası, oyulmuş, şifresi çözülmüş ve bellekte başlatılmış sahte bir dış PNG başlığının içine gömülü bir yük içeriyor" dedi. Kötü amaçlı yazılım, yürütüldükten sonra, ek yüklerin alınması için meşru ancak güvenliği ihlal edilmiş bir etki alanıyla iletişim kurmaya çalışır.

Açıklamalar, Palo Alto Networks Unit 42'nin, hayali iş görüşmelerinin bir parçası olarak kötü amaçlı yazılım dağıtmak ve ABD ve dünyanın diğer bölgelerinde bulunan kuruluşlarla yetkisiz istihdam elde etmek için Kuzey Koreli tehdit aktörleri tarafından tasarlanan ikiz kampanyaları ortaya çıkarmasından bir gün sonra geldi.

Geçen ay Microsoft, Diamond Sleet'i JetBrains TeamCity'deki (CVE-2023-42793, CVSS puanı: 9.8) kritik bir güvenlik açığından yararlanarak savunmasız sunucuları fırsatçı bir şekilde ihlal etmek ve ForestTiger olarak bilinen bir arka kapı dağıtmak için de dahil etti.

Kuzey Koreli tehdit aktörleri (3CX, MagicLine4NX, JumpCloud ve CyberLink) tarafından gerçekleştirilen yazılım tedarik zinciri saldırılarındaki artış, Güney Kore ve Birleşik Krallık'tan, bu tür saldırıların artan karmaşıklığı ve sıklığı konusunda uyarıda bulunan ve kuruluşları uzlaşma olasılığını azaltmak için güvenlik önlemleri almaya çağıran yeni bir tavsiyeye yol açtı.

Ajanslar, "Aktörlerin, tedarik zincirleri aracılığıyla belirli hedeflere veya ayrım gözetmeyen kuruluşlara erişim elde etmek için üçüncü taraf yazılımlardaki sıfır gün güvenlik açıklarından ve istismarlarından yararlandıkları gözlemlendi" dedi.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği