APT37, Reaper ve Scarcruft gibi takma adlar tarafından da bilinen Kuzey Koreli devlet destekli gelişmiş kalıcı tehdit (APT) grubu olan Group123, birden fazla bölgede Windows tabanlı sistemleri hedeflemeye devam etmektedir.
En az 2012’den beri aktif olan grup, tarihsel olarak Güney Kore’ye odaklanmıştır, ancak 2017’den bu yana Japonya, Vietnam, Orta Doğu ve ötesini içerecek şekilde, savunma, havacılık, nükleer teknoloji ve mühendislik gibi kritik sektörleri hedeflemek için genişletmiştir.
Grubun birincil motivasyonu, genellikle Kuzey Kore’nin stratejik çıkarlarıyla uyumlu olan bilgi hırsızlığı ve casusluk olarak olmaya devam ediyor.
.png
)
Son kampanyaları, CVE-2018-4878 ve CVE-2022-41128 gibi güvenlik açıkları için istismarların yanı sıra, Rokrat, Koni ve OceanSalt dahil olmak üzere geniş bir özel ve emtia kötü amaçlı yazılım cephaneliğinden yararlanarak, teknik yetenek ve uyarlanabilirliğin sofistike bir karışımını ortaya koyuyor.
Küresel erişimi genişleten
Grup123, ilk erişim vektörü olarak mızrak kimlik avına büyük ölçüde güvenen çok aşamalı bir saldırı yaşam döngüsü kullanır.
Bu yüksek hedefli e -postalar genellikle Hangul Word işlemci (HWP) ve Microsoft Office süitleri gibi hedef bölgelerde popüler olan yazılımlardan yararlanan kötü niyetli ekler içerir.
Kimlik avının ötesinde, grup Log4J kusurları da dahil olmak üzere kamuya bakan uygulama güvenlik açıklarından yararlanır ve kötü niyetli içerik sunmak için sulama deliği saldırıları yoluyla stratejik web uzatmaları yapar.
Yürütme aşamaları sıklıkla Poohmilk ve Freenki yükleyici gibi, komut dosyası ve Windows API çağrıları ile eşleştirilmiş ve arka kapılar ve kayıt defteri değişiklikleri yoluyla kalıcılık sağlayarak özel yükleri içerir.
Ayrıcalık artışı genellikle işletim sistemi istismarlarından veya kullanıcı hesabı kontrolünden (UAC) atlamaktan kaynaklanırken, savunma kaçakçılığı taktikleri HTTP’ler üzerinde şifreli C2 iletişimi, çok aşamalı yükler ve algılamadan kaçınmak için DLL yan yüklemeyi içerir.
Finansal Gotler
Grup123’ün operasyonlarındaki dikkate değer bir evrim, casusluk faaliyetlerini finanse etmek, devlet destekli saldırılar ve siber suçlar arasındaki çizgiyi bulanıklaştırmak için Maui gibi fidye yazılımlarının entegrasyonudur.
Komuta ve kontrol altyapıları, X ve Mediafire gibi tarihsel olarak kullanıcılık platformlarını ve daha yakın zamanda Gizli İletişim için Google Drive gibi bulut hizmetlerini gösteriyor.
Tarayıcılardan ve Windows Kimlik Yöneticisi’nden hasat yoluyla kimlik bilgisi erişim, dahili ağ keşfi ile birlikte, ekstraksiyondan önce hassas bilgileri düzenleyen yanal hareket ve veri pessiltrasyonunu sağlar.
Cyfirma raporuna göre, bazı durumlarda, etkiyi en üst düzeye çıkarmak için yıkıcı kötü amaçlı yazılım ve disk silecekleri dağıtılır.
Onların uyarlanabilirliği, sıfır günler de dahil olmak üzere yeni açıklanan güvenlik açıklarının ve Doğu Asya, Güneydoğu Asya, Orta Doğu ve hatta Amerika Birleşik Devletleri’nde genişleyen bir operasyon kapsamı ile hızla sömürülerek parlıyor.
Grup123’ün sosyal mühendislik cazibesini kurbanların ilgi ve mesleklerine göre uyarlama yeteneği, çağrı yığını sahtekarlığı ve C2 için meşru hizmetler kullanma gibi tekniklerle birleştiğinde, büyüyen sofistike olmalarının altını çiziyor.
MITER ATT & CK çerçevesine eşlenen taktikleri, başlangıç erişimini (örneğin, sürücüden uzlaşma için T1189), yürütmeyi (örneğin, komut satırı arayüzleri için T1059) ve toplama (örneğin, yerel sistemlerden elde edilen veriler için T1005) kapsamaktadır.
Grup123, yöntemlerini geliştirmeye ve kritik endüstrilerdeki Windows ortamlarını hedeflemeye devam ettikçe, kuruluşlar bu acımasız düşmanların ortaya koyduğu riskleri azaltmak için sağlam uç nokta korumasına, yama yönetimine ve kullanıcı farkındalığını önceliklendirmelidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!