Yeni Rapor, Kuzey Koreli Hackerların Dünya Çapında Savunma Firmalarını Hedef Aldığını Ortaya Çıkardı
Kuzey Kore devlet destekli tehdit aktörleri, dünya çapında savunma sektörünü hedef alan bir siber casusluk kampanyasına bağlandı.
Almanya Federal Anayasayı Koruma Dairesi (BfV) ve Güney Kore Ulusal İstihbarat Servisi (NIS) tarafından yayınlanan ortak bir danışma belgesinde, ajanslar saldırıların amacının gelişmiş savunma teknolojilerini "uygun maliyetli" bir şekilde yağmalamak olduğunu söyledi.
"Rejim, konvansiyonel silahların performansını modernize etmek ve iyileştirmek ve balistik füzeler, keşif uyduları ve denizaltılar dahil olmak üzere yeni stratejik silah sistemleri geliştirmek için askeri teknolojileri kullanıyor" dedi.
Kötü şöhretli Lazarus Group, Dream Job adlı uzun süredir devam eden bir operasyonun parçası olarak savunma sektörüne sızmak için sosyal mühendisliğin kullanılmasını içeren iki bilgisayar korsanlığı olayından birinden sorumlu tutuldu. Kampanya, Ağustos 2020'den bu yana çeşitli dalgalar halinde devam ediyor.
Bu saldırılarda, tehdit aktörleri, kazançlı iş fırsatları sunmadan ve işe alım sürecini başlatmak için konuşmayı WhatsApp gibi farklı bir mesajlaşma hizmetine kaydırmadan önce, potansiyel hedeflere yaklaşmak ve onlarla güven oluşturmak için LinkedIn gibi platformlarda ya sahte bir profil oluşturur ya da meşru ancak güvenliği ihlal edilmiş profillerden yararlanır.
Kurbanlara daha sonra, başlatıldıklarında bilgisayarlarını tehlikeye atmak için bulaşma prosedürünü etkinleştiren kötü amaçlı yazılımlarla dolu kodlama ödevleri ve iş teklifi belgeleri gönderilir.
Ajanslar, "Evrensel olarak, çalışanların genellikle meslektaşlarıyla veya işverenleriyle iş teklifleri hakkında konuşmamaları durumu saldırganın eline geçiyor" dedi.
"Lazarus Group, kampanya boyunca araçlarını değiştirdi ve duruma uygun her şeyi geliştirebileceğini defalarca gösterdi."
İkinci vaka, 2022'nin sonlarına doğru, araştırma merkezinin web sunucularından birinin bakımından sorumlu isimsiz bir şirkete karşı bir yazılım tedarik zinciri saldırısı gerçekleştirerek bir savunma araştırma merkezine izinsiz girişle ilgilidir.
BfV ve NIS, "Siber aktör, araştırma merkezinin bir yama yönetim sistemi (PMS) aracılığıyla uzaktan kumandalı kötü amaçlı yazılım dağıtarak araştırma tesisine daha fazla sızdı ve iş portallarının ve e-posta içeriklerinin çeşitli hesap bilgilerini çaldı" dedi.
Kuzey Kore merkezli başka bir tehdit aktörü tarafından gerçekleştirilen ihlal, beş aşamada ortaya çıktı:
- Web sunucusu bakım şirketini hackleyin, SSH kimlik bilgilerini çalın ve araştırma merkezinin sunucusuna uzaktan erişim elde edin
- Bir tünel yazılımı ve Python tabanlı bir indirici de dahil olmak üzere curl komutlarını kullanarak ek kötü amaçlı araçlar indirin
- Yanal hareket gerçekleştirin ve çalışan hesabı kimlik bilgilerini yağmalayın
- Dosyaları karşıya yükleme ve indirme, kod yürütme ve sistem bilgilerini toplama özellikleriyle birlikte gelen truva atı haline getirilmiş bir güncelleştirmeyi başarısız bir şekilde dağıtmak için çalınan güvenlik yöneticisinin hesap bilgilerinden yararlanın
- Uzaktan erişim için bir web kabuğu dağıtmak ve hedef odaklı kimlik avı e-postaları göndermek için web sitesindeki bir dosya yükleme güvenlik açığını silah haline getirerek hedef ortamda kalıcı olun
Ajanslar, "Aktör, yüksek düzeyde güvenlik sağlayan hedefine doğrudan bir saldırı yapmaktan kaçındı, bunun yerine satıcısı olan bakım ve onarım şirketine karşı ilk saldırıyı yaptı" dedi. "Bu, aktörün iki varlık arasındaki güvenilir ilişkiden yararlandığını gösteriyor."
Güvenlik bülteni, BfV ve NIS tarafından uzun yıllar içinde yayınlanan ikinci bültendir. Mart 2023'te ajanslar, kullanıcıların Gmail gelen kutularını çalmak için sahte tarayıcı uzantıları kullanan Kimsuky aktörleri konusunda uyardı. Kimsuky, Kasım 2023'te ABD hükümeti tarafından yaptırıma uğradı.
Gelişme, blockchain analitik firması Chainalysis'in, Lazarus Group'un geçen yılın sonlarında Sinbad'ın kapatılmasının ardından çalınan gelirleri aklamak için YoMix bitcoin karıştırıcısını kullanmaya geçtiğini ve kolluk kuvvetlerinin eylemlerine yanıt olarak çalışma biçimlerini uyarlama yeteneklerini gösterdiğini açıklamasının ardından geldi.
Şirket, "Sinbad, daha önce bu karmaşık siber suçluların başvurduğu Tornado Cash'in onaylanmasından kısa bir süre sonra, 2022'de Kuzey Kore'ye bağlı bilgisayar korsanları için tercih edilen bir karıştırıcı haline geldi" dedi. "Sinbad'ın resmin dışında, Bitcoin tabanlı karıştırıcı YoMix bir yedek olarak hareket etti."
Kötü niyetli faaliyetler, stratejik hedeflerine ulaşmak için siber casusluktan kripto para hırsızlığına, fidye yazılımına ve tedarik zinciri saldırılarına kadar bir dizi bilgisayar korsanlığı operasyonu gerçekleştirdiği bilinen geniş Lazarus şemsiyesi altında faaliyet gösteren çok sayıda Kuzey Koreli bilgisayar korsanlığı biriminin eseridir.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı