Dalış Özeti:
- Kuzey Kore hükümetine ait tesislerde çalışan BT çalışanları, kendilerini Kuzey Koreli olmayan kişiler olarak tanıtıyor Batılı şirketlerde iş bulmakTehdit istihbaratı ve olay müdahale firması Mandiant Pazartesi günü yaptığı açıklamada, özellikle ABD teknoloji sektöründekilerin tehdit altında olduğunu söyledi.
- Kuzey Kore destekli BT çalışanları dünyanın en değerli şirketlerinden bazılarının içine sızdı. “Onlarca Fortune 100 kuruluşu bilmeden Kuzey Kore’den BT çalışanları işe aldı.” Mandiant Consulting CTO’su Charles Carmakal Pazartesi günü bir açıklamada bulundu LinkedIn gönderisi.
- Mandiant, yaygın içeriden tehdit saldırı kampanyasının Kuzey Kore rejimi için gelir sağladığını ve bazen çıkarları doğrultusunda hareket eden tehdit gruplarına uygulama kaynak kodlarında değişiklik yapma, casusluk veya diğer kötü niyetli faaliyetlerde bulunma erişimi sağladığını tespit etti.
Dalış İçgörüsü:
FBI Haziran 2022’de kuruluşları dikkatli olmaları konusunda uyardı Uzaktan işlere başvuran ve deepfake veya çalıntı kişisel bilgileri kullanan kişiler için.
Mandiant önemli bir kötü amaçlı aktivite gözlemlememiş olsa da tehdit istihbarat firması, tehdit grubunun gelecekte sistemlere veya yazılımlara arka kapılar yerleştirmek için içeriden erişim kullanabileceğinden endişe ediyor.
Carmakal, e-posta yoluyla yaptığı açıklamada, “Bu, tehdit aktörleri için başka bir tür ilk erişim vektörü ancak tehdit aktörlerinin BT ve teknoloji pozisyonlarını hedef aldığını ve potansiyel olarak aktörlere diğer kullanıcıların sahip olmadığı sistemlere erişim sağladığını vurgulamak istiyorum.” dedi. “Bu saldırı tekniğinin oldukça etkili olma potansiyeli var.”
Mandiant’ın UNC5267 olarak takip ettiği merkezi olmayan tehdit grubu oldukça aktif olmaya devam ediyor ve öncelikli olarak tam zamanlı veya tamamen uzaktan olan sözleşmeli pozisyonlara başvuruyor. Mandiant, Kuzey Kore hükümeti tarafından Çin, Rusya, Afrika veya Güneydoğu Asya’da yaşamaya gönderilen BT çalışanlarının bazılarının aynı anda birden fazla işte çalıştığını söyledi.
Kuzey Koreli olmayan kolaylaştırıcılar, bu BT çalışanlarına kara para aklama, şirket dizüstü bilgisayarlarını alma ve barındırma ve istihdamı doğrulamak için çalıntı kimlikleri kullanma gibi destek hizmetleri sağlar. Bu dizüstü bilgisayar çiftliklerinde barındırılan cihazlar genellikle IP tabanlı klavye video fare cihazlarına ve ticari olarak temin edilebilen uzaktan izleme ve yönetim araçlarına bağlanır.
A ABD vatandaşı Mayıs ayında Arizona’da tutuklandı Ekim 2020 ile Ekim 2023 arasında 300’den fazla ABD şirketini dolandırmak amacıyla bu dizüstü bilgisayar çiftliklerinden birini işlettiği ve bunun sonucunda en az 6,8 milyon dolar yasadışı gelir elde ettiği iddiasıyla.
Mandiant, kuruluşların kurgusal yeteneklerin işe alınmasını tespit etmek ve önlemek için kullanabilecekleri stratejileri paylaştı; bunlar arasında sıkı geçmiş kontrolleri ve dikkatli mülakat süreçleri de yer alıyor. Şirket, insan kaynakları departmanlarını işe alım ekiplerini tutarsızlıkları tespit etmek ve adayların mülakatlar sırasında kameraları açma veya sahte geçmiş kullanma konusundaki isteksizliğini not etmek için eğitmeye çağırdı.
Carmakal, e-posta yoluyla yaptığı açıklamada, “Tehdit aktörleri ikna edici özgeçmişler oluşturuyor ve işe alım süreci boyunca çeşitli kontroller için geçici çözümler keşfettiler,” dedi. “Kuruluşların bu potansiyel tehditten habersiz olduğu ve bu nedenle başvuruları incelerken ve işe alım sürecini yürütürken farkında olmadıkları bir sorunla karşı karşıyayız.”
Mandiant’a göre, ihlalin teknik göstergeleri arasında kurumsal dizüstü bilgisayarların farklı lokasyonlara gönderilmesi talebi, uzaktan yönetim araçlarının, VPN servislerinin ve fare sallama yazılımlarının kullanımı yer alıyor.
Şirketler ayrıca BT katılımı sırasında dizüstü bilgisayar seri numarasının doğrulanmasını talep edebilir ve kurumsal cihazlara fiziksel erişimi garanti altına almak için donanım tabanlı çok faktörlü kimlik doğrulamayı uygulayabilir.