APT Grubu 123, kötü niyetli yükler sunmak için aktif olarak Windows sistemlerine saldırıyor


APT Grubu 123, kötü niyetli yükler sunmak için aktif olarak Windows sistemlerine saldırıyor

Kuzey Kore devlet destekli tehdit oyuncusu APT Group 123, siber casusluk kampanyasını yoğunlaştırdı ve özellikle küresel olarak birden fazla sektördeki Windows sistemlerini hedef aldı.

En az 2012’den beri aktif olan ve APT37, Reaper ve Scarcruft gibi takma adlar altında da izlenen grup, tarihsel olarak Güney Kore hedeflerine odaklandı, ancak son yıllarda Japonya, Vietnam, Orta Doğu ve diğer bölgelere operasyonları genişletti.

Sofistike saldırılar öncelikle hükümet, havacılık, üretim ve yüksek teknoloji endüstrileri dahil olmak üzere kritik sektörlerden hassas bilgiler elde etmeyi amaçlamaktadır.

Google Haberleri

Tehdit oyuncusu birincil enfeksiyon vektörü, Microsoft Office uygulamaları da dahil olmak üzere popüler kelime işlemcilerdeki güvenlik açıklarından yararlanan kötü niyetli ekler içeren yüksek hedefli mızrak kimlik avı e -postalarını içerir.

Ayrıca, grup, sulama deliği saldırıları ve sürücü by indirmeler yoluyla stratejik web uzatmaları yapar, kullanıcılar tehlikeye atılan web sitelerini ziyaret ettiğinde web tarayıcılarındaki ve eklentilerdeki güvenlik açıklarını kullanır.

Bu çok yönlü saldırı vektörleri, APT Group 123’ün hedef ağlara ilk erişimin sağlanmasında çok yönlülüğünü göstermektedir.

Cyfirma araştırmacıları, bu saldırıların etkisinin bilgi hırsızlığının ötesine geçtiğini, grup şimdi casusluk operasyonlarının yanı sıra finansal kazanç için fidye yazılımı saldırılarına katıldığını belirledi.

Bu ikili motivasyon, finansal gelirlerin daha geniş zeka toplama misyonunu doğrudan desteklediği görüldüğü için taktiklerindeki bir evrimi yansıtır.

Grubun kalıcı operasyonları, özellikle değerli fikri mülkiyet veya stratejik bilgilere sahip olan kuruluşlara odaklanarak en az on üç ülkedeki kuruluşları etkilemiştir.

Son zeka, APT Group 123’ün tekniklerini iyileştirmeye devam ettiğini ve yeni açıklanan güvenlik açıklarını cephaneliğine dikkate değer bir hızla dahil ettiğini ileri sürüyor.

Grup, tehlikeye atılan sistemlere kalıcı erişim sağlamak için Rokrat, Poohmilk ve Freenki Loader dahil özel kötü amaçlı yazılımlardan yararlanır.

Bir ağın içine girdikten sonra, saldırganlar yanal olarak hareket eder, ayrıcalıkları artırır ve duyarlı verileri komuta ve kontrol altyapılarına ekleyerek hedeflenen kuruluşlar için önemli operasyonel ve güvenlik etkilerine neden olur.

Gelişmiş Savunma Kaçma Teknikleri

Apt Group 123’ün operasyonlarının sofistike doğası, savunma kaçakçılığı tekniklerinde özellikle belirgindir.

Grup, kötü amaçlı trafiği meşru ağ etkinliği ile harmanlamak için komut ve kontrol iletişimleri için şifreleme, özellikle HTTPS kullanır.

Bu yaklaşım, tespiti geleneksel güvenlik çözümleri için önemli ölçüde daha zor hale getirir. Kötü amaçlı yazılımları tipik olarak çok aşamalı bir mimari kullanır ve yükler analiz ve algılamayı karmaşıklaştırmak için birkaç bileşene ayrılır.

Saldırı Akışı (Kaynak – Cyfirma)

Saldırganlar, kötü amaçlı yazılımlarında güvenlik ve analiz araçları için kontroller uygulayarak önemli ölçüde operasyonel güvenlik bilinci göstermektedir.

Bu tür araçlar tespit edildiğinde, kötü amaçlı kod uyarıları tetiklemekten kaçınmak için davranışını değiştirebilir.

APT Grubu 123, meşru pencereler süreçlerinin kötü amaçlı kod yüklemek için manipüle edildiği DLL sideloading gibi gelişmiş teknikleri sıklıkla kullanır ve DLL oyma ve daha fazla algılama için yığın sahtekarlığı çağırır.

Belki de en önemlisi grubun gelişen altyapı stratejisidir. Cyfirma analistleri, APT Group 123’ün komuta ve kontrol işlemleri için giderek daha fazla uzlaşmış meşru web sunucularından ve bulut tabanlı platformlardan yararlandığını kaydetti.

Daha önce, X, Yandex ve Mediafire gibi hizmetleri kullandılar ve son kanıtlar Google Drive gibi ana hizmetlere potansiyel genişlemeyi gösteriyor.

Bu taktiksel değişim, görünüşte meşru trafik modellerinin arkasındaki kötü niyetli ağ iletişimlerini daha da gizlediği için savunucular için önemli bir zorluğu temsil ediyor.

How SOC Teams Save Time and Effort with ANY.RUN - Live webinar for SOC teams and managers



Source link