Siber Savaş / Ulus-Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar , Sosyal Mühendislik
Bilgisayar Korsanları Kötü Amaçlı Bağlantı Göndermeden Önce Uyum Kurmak İçin Günler Haftalarca E-postalar Gönderiyor
Prajeet Nair (@prajeetspeaks) •
6 Nisan 2023
Casusluk için sosyal mühendislik taktiklerini kullanan Kuzey Koreli bilgisayar korsanları, kurbanları kötü niyetli bir bağlantıyı tıklamaya ikna etmek söz konusu olduğunda, azın çok olduğunu öğrendiler.
Ayrıca bakınız: Web Semineri | Ağ Mimarisinin Evrimi: Bilmedikleriniz Size Zarar Verebilir
Archipelago kötü niyetli bir bağlantı gönderirken Google’ın izlediği Pyongyang bilgisayar korsanlığı grubu, günlerce veya haftalarca yakınlık kuran e-postalar alıp gönderebilir. Alıcının belgede görüntülenen kötü amaçlı bir bağlantıya – nihayet – tıklamasına yol açan bir güven rezervine güvenerek, içine kötü amaçlı yazılım katıştırılmamış bir PDF bile gönderebilir.
Google’ın Tehdit Analizi Grubu, kardeş tehdit istihbarat birimi Mandiant’ın Mart ayı sonlarında bilgisayar korsanlığı grubunun taktiklerini bildirmesinin ardından Takımadalar hakkındaki ayrıntıları ifşa ettiğini söyledi (bkz: Kuzey Koreli Tehdit Grupları Hacking Karşılığı Ödemek İçin Kripto Çaldı).
Mandiant, casusluk odaklı grubu APT43 olarak izler; Google, Archipelago’nun APT43’ün bir alt kümesi olduğunu ve her iki grubun faaliyetlerinin Kuzey Koreli gruplar Kimsuky veya Thallium’a atfedilen eylemlerle örtüştüğünü söylüyor. Google TAG ve Mandiant, Kim Jong Un rejiminin bu bilgisayar korsanlarını yarımada meselelerinde uzmanların çevrimiçi hesaplarına girmekle görevlendirdiği konusunda hemfikir.
Bir Mandiant analisti daha önce Information Security Media Group’a verdiği demeçte, “Onlar, Kim Jong Un’un bir füze fırlattıktan sonra ‘Dünya bunun hakkında ne düşündü?’ diye sormak için gittiği adamlar.” Mart ayında Güney Koreli ve Alman güvenlik teşkilatları, bölge uzmanlarını “saldırı yolda” olduğu için Kuzey Kore’nin zekice yapılan kimlik avı girişimlerine karşı tetikte olmaları konusunda uyardı.
Google araştırmacıları tarafından gözlemlenen bir olayda, Güney Koreli bir haber ajansı için gazeteci kılığına giren bir tehdit aktörü, Kuzey Koreli uzmanlara röportaj istekleri içeren zararsız e-postalar gönderdi. Alıcılar ilgilendiklerini ifade ederek yanıt verdiğinde, bilgisayar korsanları hemen kötü niyetli bir bağlantıyla yanıt vermedi. Birkaç e-posta sonra Archipelago, kötü amaçlı yazılım barındıran parola korumalı bir dosya içeren bir Microsoft OneDrive klasörüne bağlantı gönderdi.
Archipelago ayrıca, kullanıcıları asıl tarayıcı penceresinde sahte bir tarayıcı penceresi açmaları için kandıran “tarayıcıdaki tarayıcı” kimlik avı sayfalarını da kullanır.
Son zamanlarda grup, tespit edilmekten kaçınmak için teknikler kullanarak kötü amaçlı yazılımları faaliyetlerine daha doğrudan dahil etti. Bir örnek, Google Drive tarafından barındırılan bir ISO dosyasına bağlantı içeren bir kimlik avı e-postası göndermeyi içeriyordu. başlıklı dosya Interview_with_Voice_of_America.iso, sıkıştırılmış dosya açıldığında parola korumalı bir belgeyi ortaya çıkaran bir zip dosyası içeriyordu. Bu belgenin şifresi çözüldüğünde, Kuzey Kore bağlantılı BabyShark kötü amaçlı yazılım ailesiyle ilgili bir VBS komut dosyası yüklendi ve çalıştırıldı.
Kötü amaçlı yazılımı parolaların arkasına gizlemek, kötü amaçlı dosyaları antivirüs taramasından korur.
Kuzey Koreli bilgisayar korsanları, kötü amaçlı Chrome uzantılarını kullanmalarıyla tanınır. Son zamanlarda, Sharpext olarak bilinen bir uzantı kullandılar. Güney Koreli ve Alman güvenlik kurumlarından gelen uyarı, kimlik avı e-postalarının kurbanları, Gmail de dahil olmak üzere e-posta sağlayıcılarından içerik çalan uzantıyı indirmeye teşvik ettiğini söylüyor.