Siber Suç , Siber Savaş / Ulus Devlet Saldırıları , Uç Nokta Güvenliği
Casusluk Kampanyası, Pyongyang’ın Anlatı İşaretlerini Taşıdı – Ve Büyük Bir Opsec Başarısızlığı
Jayant Chakraborty (@JayJay_Tech) •
2 Şubat 2023
Bir tehdit istihbarat firması, Pyongyang bilgisayar korsanlığı araç setinin tekrar eden unsurlarına ihanet eden bir kampanyada teknolojik casusluk yapan Kuzey Koreli bilgisayar korsanlarını tespit etti.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakende Sektörünün ATO ve Dolandırıcılığı Önleme Zorluğunun Üstesinden Gelmek
Siber güvenlik firması WithSecure, uç nokta algılama taramalarının bir müşterinin bilinen tehdit aktörü IP adreslerine bağlanan sunucularında bir Cobalt Strike işaretini göstermesinin ardından dikkatini çeken tıbbi araştırma ve enerji sektörlerini hedef alan bir kampanya tespit ettiğini söyledi.
Finlandiyalı şirketten araştırmacılar, bilgisayar korsanları tarafından dağıtılan acres.exe adlı uzaktan erişim Truva Atı’nın meyve sever gibi görünen bir yazılım geliştiricisinin liderliğini üstlenerek kampanyaya “Ananas Yok” adını verdiler. Araç, 1.024 bayttan büyük veri hırsızlığı mesajlarını “Ananas Yok!” mesajıyla keser.
Birçok kampanya göstergesi Kuzey Kore’ye işaret ediyor – muhtemelen Mandiant’ın Bureau 325 olarak tanımladığı hükümet bilgisayar korsanlığı birimine. Keşif Genel Bürosu içinden kaynaklanan neredeyse tüm Kuzey Kore siber faaliyetlerine rağmen operasyonların sayısı.
Totaliter rejim en çok devlet destekli kripto para hırsızlığıyla ünlüdür, ancak siber casusluk devam eden bir endişe olmaya devam etmektedir.
WithSecure tarafından tespit edilen Kuzey Kore ile en belirgin bağlantı, bilinen ilk kampanya kurbanı tarafından tutulan sunucuların ağ günlüklerinin incelenmesinden sonra geldi. İnceleme, bir Kuzey Kore internet protokolü adresinden gelen bağlantıları ortaya çıkardı.
WithSecure, “Bu örneğin, tehdit aktörünün çalışma günlerinin başlangıcındaki bir operasyonel güvenlik hatası olduğundan ve küçük bir gecikmeden sonra amaçlanan yoldan geri döndüklerinden şüpheleniyoruz” diye yazıyor.
Anlık ancak açıklayıcı bir opsec başarısızlığının yanı sıra başka göstergeler de mevcuttur. Bunlar, bilgisayar korsanlarının Dtrack arka kapısını kullanmasını ve Kuzey Koreli Kimsuky tehdit grubunun faaliyetlerinde görülen bir kombinasyon olan Grease kötü amaçlı yazılımını içerir. Grease, Windows yönetici hesapları ekleyebilen ve uzak masaüstü protokolünü etkinleştirebilen kötü amaçlı bir yazılımdır. Araştırmaların analiz ettiği Dtrack varyantı, Kuzey Koreli bilgisayar korsanlarının 2019’da Hindistan’daki bir nükleer santrale karşı gerçekleştirdiği bir siber saldırıda kullandıkları bir varyanta benziyordu.
Verileri sızdırmak için kullanılan dönümlük kötü amaçlı yazılım – “Ananas Yok” kampanyasının adından sorumlu olan kötü amaçlı yazılım – Cisco Talos’taki araştırmacılar tarafından MagicRAT olarak adlandırılan bir uzaktan erişim Truva Atı’na da benziyor. WithSecure’un Kuzey Kore’nin siber casusluk kampanyasını “güçlü bir güvenle” değerlendirmesine yardımcı olan diğer kanıtlar, bilgisayar korsanlarının kalıcılık sağlamak için 3Proxy, Plink ve Stunnel’ı kullanmasını içerir.
WIthSecure, tehdit aktörleri tarafından belirlenen şifrelerde Kuzey Kore etkilerini de buldu. Hepsinin benzer bir formatı vardı, “büyük olasılıkla ABD düzeninde bir klavyede bir desen oluşturarak yapılmıştır.” Örneğin, ” 1qaz123!@#” ve ” 1qaz@@@#A@ /add”.
Kampanya faaliyeti ayrıca, Kore Yarımadası’nda sabah 9:00 olan Evrensel Eşgüdümlü Saat ile gece yarısı başlayan Pyongyang çalışma saatlerine denk geldi.
Ananas Yok kampanyasındaki bilgisayar korsanları toplamda 100 gigabayt veri çaldı.