Son araştırmalar, Kuzey Kore devlet destekli hackerlar tarafından kullanılan giderek daha karmaşık taktikler, teknikler ve prosedürleri (TTP) vurgulamıştır.
Bu siber aktörler, küresel olarak geniş bir sektör yelpazesini hedefleyen casusluk, finansal hırsızlık ve bozulmaya stratejik bir odaklanma gösterdiler.
Operasyonları, nükleer programların finansmanı, istihbarat toplamak ve rakipleri zayıflatmak da dahil olmak üzere rejimin jeopolitik hedefleriyle uyumludur.
Gelişmiş siber operasyonlarla ilgili temel bulgular
Lazarus, Kimuky ve APT37 gibi gruplar da dahil olmak üzere Kuzey Kore siber aktörleri, saptamayı ve etkiyi en üst düzeye çıkarmak için yöntemlerini geliştirdiler.
Bu gruplar, mızrak aktı kampanyaları, kötü amaçlı yazılım dağıtımları ve ileri sosyal mühendislik taktiklerinden yararlanarak Güney Kore ve ötesindeki kritik sistemlere başarılı bir şekilde sızmıştır.
Dikkate değer bulgular şunları içerir:
- Mızrak aktı hakimiyeti: Mızrak aktı birincil giriş vektörü olmaya devam ediyor. Saldırganlar, kurbanları kötü amaçlı yazılım indirmeye veya hassas kimlik bilgilerini ortaya çıkarmaya yönlendirmek için son derece özelleştirilmiş e -postalar hazırlar. Örneğin, Kimsuky Güney Koreli organizasyonları verileri çalmak için meşru görünümlü e-postalar kullanmayı hedefledi.
- Kötü amaçlı yazılım sofistike: Rokrat ve Rambleon gibi kötü amaçlı yazılımlar önemli ölçüde gelişti. Rokrat şimdi veri hırsızlığı ve uzaktan erişim için casus yazılım özelliklerini entegre ediyor. Benzer şekilde, Rambleon Android kötü amaçlı yazılım, Kuzey Kore ile ilgili sorunları kapsayan gazetecileri hedef aldı.
- Kimlik bilgisi hasat kampanyaları: UCID902 gibi gruplar, Kuzey Kore’de insan haklarını savunan sivil toplum kuruluşlarına (STK) amaçlayan kapsamlı kimlik bilgisi hasat operasyonları yürüttüler. Bu kampanyalar genellikle kurbanları tehlikeye atmak için sosyal mühendislikten yararlanır.
Siber operasyonların arkasındaki stratejik hedefler
Kuzey Kore’nin siber stratejisi daha geniş ulusal hedeflerini yansıtıyor.
Rejim, şunlara siber operasyonlar kullanır:
- Fon Devlet Programları: Kripto para birimi platformlarından ve fidye yazılımı saldırılarından finansal hırsızlık, rejim için temel gelir akışları haline geldi.
- Casusluk: Siber kampanyalar, Güney Kore ve diğer uluslarda siyasi ve askeri konular hakkında istihbarat toplamayı amaçlamaktadır.
- Bozulma: Daha az yaygın olmasına rağmen, yıkıcı saldırılar düşmanları istikrarsızlaştırmak için kritik altyapıyı hedeflemektedir.
Yakın tarihli bir çalışma, Kuzey Kore siber saldırılarının% 72’sinin casusluk üzerine odaklandığını ve finansal hırsızlığın geri kalan olayların önemli bir kısmını oluşturduğunu ortaya koydu.
Kuzey Kore siber operasyonlarının artan sofistike olması, gelişmiş savunmalara acil ihtiyacın altını çizmektedir.
Sivil toplum grupları, mağdurlarla doğrudan katılımları nedeniyle bu tehditlerin belirlenmesinde önemli bir rol oynamaktadır.
Bununla birlikte, araştırma küresel siber güvenlik çerçevelerindeki boşlukları vurgulamaktadır, özellikle Güney Kore gibi yeterince temsil edilmeyen bölgeleri hedefleyen tehditlerin ele alınmasında.
Bu zorluklara karşı koymak için araştırmacılar, hükümetler, özel sektör kuruluşları ve STK’lar arasında daha fazla işbirliğini savunuyorlar.
Tehdit istihbarat paylaşımı ve proaktif savunma stratejilerine yapılan yatırımlar, devlet destekli siber aktörlerin ortaya koyduğu riskleri azaltmak için gereklidir.
Kuzey Kore siber yeteneklerini genişletmeye devam ettikçe, gelişen TTP’lerini anlamak, savunmasız sektörleri korumak ve küresel siber güvenlik esnekliğini korumak için kritik öneme sahiptir.
Are you from SOC/DFIR Team? - Join 500,000+ Researchers to Analyze Cyber Threats with ANY.RUN Sandbox - Try for Free