Araştırmacılar son zamanlarda Kuzey Koreli bilgisayar korsanları tarafından kullanılan sofistike taktikler, teknikler ve prosedürler (TTP) üzerine ışık tuttular.
Yaklaşık üç yılı kapsayan bu kapsamlı analiz, Güney Kore’deki sivil toplum kuruluşlarına (STK) yönelik hedefli dijital tehditlere odaklanmaktadır.
Araştırma, STK’ların bu tehditlerin belirlenmesi ve hafifletilmesi konusundaki kritik rolünü vurgulamakta, rakip TTP’lere benzersiz bilgiler toplamak için kurbanlarla doğrudan katılımdan yararlanmaktadır.
Mağdurlarla yakından işbirliği yaparak STK’lar, tehdit görünürlüğünü artırabilir ve saldırıları geleneksel yöntemlerden daha fazla doğrulukla izlemelerine, günlüğe kaydetmelerine ve analiz etmelerini sağlayabilir.
0x0v1’deki analistler, bu yaklaşımın eyleme geçirilebilir tehdit istihbaratı, korelasyon analizi ve belirli saldırı kampanyalarının tanımlanmasını sağlarken gelecekteki tehditlerin öngörülmesine yardımcı olduğunu belirtti.
.webp)
Buna ek olarak, istihbarat odaklı bir strateji, STK’ların proaktif güvenlik önlemlerini benimsemelerini sağlar ve tehditleri yükselmeden önce tahmin etmek ve etkisiz hale getirmek için reaktif yanıtların ötesine geçer.
Bu, potansiyel kurbanları eğitmeyi, esnekliği güçlendirmeyi ve hızlı olay tepkisinin sağlanmasını içerir.
Metodoloji
Çalışmada manuel ve otomatik analiz tekniklerinin bir kombinasyonu kullanıldı:
- Örnek Gönderme: Katılımcılar, komut ve kontrol IP adresleri gibi uzlaşma göstergeleri için analiz edilen şüpheli e-postalar sundular.
- Denetleme: STK dijital altyapısının düzenli denetimleri şüpheli dosyaları ve ağ trafiğini belirledi.
- Kötü amaçlı yazılım analizi: IDA Pro ve Guguklu Sandbox gibi statik ve dinamik analiz araçları, kötü niyetli kodları tersine çevirmek ve kötü amaçlı yazılım konfigürasyonlarını çıkarmak için kullanılmıştır.
- E -posta İçerik Analizi: E -posta başlıkları ve içerik, gönderen gönderen bilgileri ve altyapı göstergelerini çıkarmak için analiz edildi.
- Pasif DNS ve açık kaynaklı tehdit istihbaratı: Virustotal ve urlScan.io gibi araçlar ek bağlamsal bilgi sağladı.
Çalışma, tehdit oyuncusu korelasyonu ve ilişkilendirme için elmas modeli de dahil olmak üzere kümeleme tekniklerini kullanmıştır.
.webp)
Elmas modeli siber tehditlerin temel unsurlarını inceler: düşman, altyapı, kurban ve yetenekler.
.webp)
Bu çerçeve, bu unsurlar arasındaki ilişkileri analiz ederek saldırı kampanyalarını anlamaya yardımcı olur.
Doğrudan kurban katılımı ve kapsamlı korelasyon analizinden yararlanarak STK’lar, Kuzey Kore hackleme operasyonları hakkında kritik bilgiler sağlayarak küresel siber güvenlik esnekliğini artırabilir.
Are you from SOC/DFIR Team? - Join 500,000+ Researchers to Analyze Cyber Threats with ANY.RUN Sandbox - Try for Free