Kuzey Koreli Hackerlar Siber Casusluktan Fidye Yazılımı Saldırılarına Geçiyor
Siber casusluk operasyonlarıyla tanınan Kuzey Kore bağlantılı bir tehdit aktörü, yavaş yavaş fidye yazılımlarının konuşlandırılmasını içeren finansal güdümlü saldırılara dönüştü ve bu da onu ülkeye bağlı diğer ulus devlet bilgisayar korsanlığı gruplarından ayırdı.
Google'ın sahibi olduğu Mandiant, etkinlik kümesini Andariel, Nickel Hyatt, Onyx Sleet (eski adıyla Plutonium), Silent Chollima ve Stonefly gibi isimlerle örtüşen yeni bir takma ad olan APT45 altında izliyor.
Araştırmacılar Taylor Long, Jeff Johnson, Alice Revelli, Fred Plan ve Michael Barnhart, "APT45, 2009 gibi erken bir tarihte casusluk kampanyaları yürüten, uzun süredir devam eden, orta derecede sofistike bir Kuzey Koreli siber operatördür" dedi. "APT45, kritik altyapıyı hedef alan en sık gözlemlenen sistem oldu."
APT45'in APT38 (BlueNoroff olarak da bilinir), APT43 (Kimsuky olarak da bilinir) ve Lazarus Group (diğer adıyla TEMP. Hermit), ülkenin önde gelen askeri istihbarat örgütü olan Kuzey Kore'nin Keşif Genel Bürosu (RGB) içindeki unsurlardır.
APT45, özellikle 2021 ve 2022'de Güney Kore, Japonya ve ABD'deki varlıkları hedefleyen SHATTEREDGLASS ve Maui olarak izlenen fidye yazılımı ailelerinin konuşlandırılmasıyla bağlantılıdır. SHATTEREDGLASS'ın ayrıntıları Kaspersky tarafından Haziran 2021'de belgelendi.
Mandiant, "APT45'in yalnızca kendi operasyonlarını desteklemek için değil, aynı zamanda diğer Kuzey Kore devlet öncelikleri için fon yaratmak için mali güdümlü siber suçlar gerçekleştirmesi mümkündür" dedi.
Cephaneliğinde öne çıkan bir diğer kötü amaçlı yazılım, ilk olarak 2019'da Hindistan'daki Kudankulam Nükleer Santrali'ni hedef alan bir siber saldırıda kullanılan ve Kuzey Koreli aktörlerin kritik altyapıyı vurduğunun kamuoyu tarafından bilinen birkaç örneğinden biri olan Dtrack (diğer adıyla Valefor ve Preft) adlı bir arka kapıdır.
Mandiant, "APT45, Kuzey Kore'nin en uzun süredir devam eden siber operatörlerinden biridir ve grubun faaliyeti, operasyonlar hükümet ve savunma kuruluşlarına karşı klasik siber casusluktan sağlık ve mahsul bilimini içerecek şekilde kaymış olsa bile rejimin jeopolitik önceliklerini yansıtıyor" dedi.
"Ülke, ulusal gücün bir aracı olarak siber operasyonlarına bağımlı hale geldiğinden, APT45 ve diğer Kuzey Koreli siber operatörler tarafından yürütülen operasyonlar, ülke liderliğinin değişen önceliklerini yansıtabilir."
Bulgular, güvenlik farkındalığı eğitim firması KnowBe4'ün, bir ABD vatandaşının çalıntı kimliğini kullanan ve yapay zeka (AI) kullanarak resimlerini geliştiren bir yazılım mühendisi olarak Kuzey Kore'den bir BT çalışanını işe alması için kandırıldığını söyledi.
Şirket, "Bu, devlet destekli bir suç altyapısı tarafından desteklenen, birkaç tur video görüşmesine katılan ve şirketler tarafından yaygın olarak kullanılan arka plan kontrol süreçlerini atlatmış bir ABD vatandaşının çalıntı kimliğini kullanan yetenekli bir Kuzey Koreli BT çalışanıydı" dedi.
Kore İşçi Partisi'nin Mühimmat Endüstrisi Departmanı'nın bir parçası olduğu değerlendirilen BT işçi ordusu, aslında Çin ve Rusya'da olduklarında ülkede bulunuyormuş gibi davranarak ve bir "dizüstü bilgisayar çiftliğine" teslim edilen şirket tarafından verilen dizüstü bilgisayarlar aracılığıyla uzaktan oturum açarak ABD merkezli firmalarda iş arama geçmişine sahiptir.
KnowBe4, Mac iş istasyonunda 15 Temmuz 2024'te saat 21:55'te (EST) kişiye gönderilen ve oturum geçmişi dosyalarını manipüle etmek, potansiyel olarak zararlı dosyaları aktarmak ve zararlı yazılımları yürütmekten oluşan şüpheli etkinlikler tespit ettiğini söyledi. Kötü amaçlı yazılım bir Raspberry Pi kullanılarak indirildi.
Yirmi beş dakika sonra, Florida merkezli siber güvenlik şirketi, çalışanın cihazını içerdiğini söyledi. Saldırganın hassas verilere veya sistemlere yetkisiz erişim sağladığına dair bir kanıt yoktur.
KnowBe4'ün CEO'su Stu Sjouwerman, "Dolandırıcılık, aslında işi yapıyorlar, iyi para alıyorlar ve yasadışı programlarını finanse etmek için Kuzey Kore'ye büyük miktarda veriyorlar" dedi.
"Bu durum, gelişmiş kalıcı tehditlere karşı koruma sağlamak için daha sağlam inceleme süreçleri, sürekli güvenlik izleme ve İK, BT ve güvenlik ekipleri arasında gelişmiş koordinasyon için kritik ihtiyacı vurguluyor."
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı