Günümüzde kuruluşlar, önemli mali ve itibar kaybına yol açabilen artan siber güvenlik tehditleriyle karşı karşıya kalmaktadır.
Siber güvenlik, hassas verileri ve sistemleri yetkisiz erişime ve siber saldırılara karşı korumak için bir dizi teknoloji, süreç ve uygulamanın uygulanmasını ve yürütülmesini içerir.
Google, yakın zamanda kuruluşları Kuzey Koreli bilgisayar korsanları adına faaliyet gösteren BT çalışanları konusunda uyardı.
Google, Kuzey Koreli BT Çalışanları Konusunda Uyarıyor
“UNC5267” olarak takip edilen Kuzey Koreli bilişim görevlileri, karmaşık kimlik hırsızlığı ve siber taktiklerle küresel teknoloji sektörlerini istismar ediyor.
Çalınan kimlikler, yapay zeka tarafından oluşturulan görseller ve Netlify ve Google Docs gibi platformlarda barındırılan uydurma özgeçmişler kullanarak ayrıntılı kişilikler oluşturuyorlar.
CISO’larla tanışın, uyumluluğu öğrenmek için Sanal Panele katılın – Ücretsiz Katıl
Bu operatörler, Astrill gibi Sanal Özel Ağları (VPN) kullanarak trafiği çoğunlukla Çin veya Kuzey Kore üzerinden yönlendiriyor.
Kurumsal cihazlara GoToRemote, LogMeIn, Chrome Remote Desktop, AnyDesk, TeamViewer ve RustDesk dahil olmak üzere bir dizi Uzaktan Erişim Aracı (RAT) yüklerler.
Operasyonlar sıklıkla, birden fazla kurumsal cihazın IP tabanlı Klavye Video Fare (KVM) anahtarları aracılığıyla yönetildiği ve uzaktan kontrole olanak sağlayan “dizüstü bilgisayar çiftlikleri” etrafında yoğunlaşıyor.
Etkinlik yanılsamasını sürdürmek için “Kafein fare sallama” yazılımını kullanıyorlar. Tespit stratejileri, tek sistemlerde ‘VoIP numaraları’, ‘coğrafi konum tutarsızlıkları’ ve ‘birden fazla RAT kullanımı’ için izlemeyi içeriyor.
Gelişmiş karşı önlemler arasında donanım tabanlı “MFA”, “biyometrik doğrulama” ve bilinen ‘VPN çıkış düğümlerinden gelen “bağlantıların incelenmesi” yer alıyor.
Sonuç olarak, araştırmacılar kuruluşları davranışsal kırmızı bayraklara karşı uyanık ve tetikte olmaya şiddetle çağırdı. Bu görevliler genellikle birden fazla işi sahtekarlıkla yapar ve potansiyel olarak yüzlerce şirketin ağını tehlikeye atar.
Faaliyetleri iki amaca hizmet ediyor:
- Kuzey Kore rejimi için gelir yaratmak (bir durumda 2020’den 2023’e kadar 6,8 milyon dolar olarak tahmin ediliyor).
- Gelecekteki siber operasyonlar için uzun vadeli ağ erişiminin kolaylaştırılması.
Bu tehdit aktörünün tek bir operasyonda 300’den fazla ABD şirketini etkilediği gözlemlendi; bu da sızma çabalarının ölçeğini ve karmaşıklığını ortaya koyuyor.
Azaltma önlemleri
Aşağıda tüm hafifletme önlemlerinden bahsettik:
- Uzaktan çalışanlar için düzenli zorunlu video spot kontrolleri uygulayın.
- Kullanıcılara ve çalışanlara tehditler ve eğilimler konusunda sürekli eğitim sunun.
- Şüpheli faaliyetlerin bildirilmesi konusunda ek eğitim sağlayın.
- Güvenlik sağlayıcıları ve bilgi paylaşım topluluklarıyla iş birliği yapın.
- ABD bankalarının finansal işlemlerde daha sıkı kimlik doğrulaması yapmasını zorunlu kılın.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14-day free trial