Kuzey Kore Konni İleri Kalıcı Tehdit (APT) Grubu tarafından potansiyel olarak düzenlenen sofistike çok aşamalı kötü amaçlı yazılım kampanyası, ağırlıklı olarak Güney Kore’de varlıkları hedefleyen tanımlanmıştır.
Siber güvenlik uzmanları, sistemleri tehlikeye atmak ve duyarlı verileri yaymak için gelişmiş gizleme tekniklerini ve kalıcı mekanizmaları kullanan titizlikle hazırlanmış bir saldırı zincirini ortaya çıkarmıştır.
Bu kampanya, casusluk ve veri hırsızlığına odaklanarak, siber alanda devlet destekli aktörlerin ortaya koyduğu kalıcı ve gelişen tehdidin altını çiziyor.
.png
)
Karmaşık saldırı vektörü açıklandı
Saldırı, gizlenmiş bir .lnk kısayol dosyası içeren kötü amaçlı bir zip dosyasının dağıtılmasıyla başlar.
Yürütme üzerine, bu kısayol, geleneksel imza tabanlı tespitten kaçınmak için tasarlanmış modern kötü amaçlı yazılımların ayırt edici özelliği olan şaşkın bir PowerShell betiğini tetikler.
Bu komut dosyası, uzak sunuculardan ek kötü amaçlı yükler getirerek bir indirici görevi görür.
Saldırının çok aşamalı doğası, her bileşenin aşamalı olarak teslim edilmesini ve yürütülmesini sağlar ve erken tespit olasılığını azaltır.
Bu zincirdeki son yük, enfekte olmuş sisteme kalıcı arka kapı erişimini sağlayan bir uzaktan erişim Trojan’dır (sıçan).
Sıçan, dizin listeleri de dahil olmak üzere kritik sistem bilgilerini hasat etmek için tasarlanmıştır ve bu verileri uzlaşılmış bir komut ve kontrol (C2) sunucusuna ekleyin.
Bu sofistike mimari, saldırganların uzun vadeli erişimi sürdürmelerini, faaliyetleri izlemelerini ve potansiyel olarak tehlikeye atılan ortama göre daha fazla istismar yapmalarını sağlar.
Symantec ve VMware tarafından Kapsamlı Savunma Mekanizmaları
Symantec ve VMware Carbon Black gibi siber güvenlik firmaları bu tehdide sağlam bir şekilde yanıt verdi.
Symantec’in davranış tabanlı algılaması, Sonar.Powershell! G20 ve Sonar.Powershell! G111 gibi imzalar altında kötü niyetli PowerShell komut dosyalarını tanımlar.
Dosya tabanlı korumalar da yerinde, Cl.downloader! Gen11, Scr.Mallnk! Gen4, Scr.Mallnk! Gen13, Truva At, Trojan.Gen.NPE ve WS.Malware.1 olarak etiketlenmiş olarak etiketlenir.
Ayrıca, Symantec’in e -posta güvenlik ürünleri ve e -posta tehdidi izolasyonu (ETI) teknolojisi, ilk ZIP dosyasını dağıtabilecek kimlik avı denemelerine karşı ek bir savunma katmanı sağlar.
Web tabanlı korumalar, C2 sunucularıyla iletişimi engelleyerek Webpulse özellikli ürünlerde ilgili güvenlik kategorileri altında gözlemlenen kötü niyetli alanlar ve IP’leri kapsar.
Bu arada, VMware karbon siyahı, kötü amaçlı göstergeleri mevcut politikalarla ilişkilendirerek, tüm kötü amaçlı yazılım yürütme, şüpheli ve potansiyel olarak istenmeyen programların (PUP) yasaklanmasını önermek ve tetik hizmetlerinin etkinliğini en üst düzeye çıkarmak için bulut taramaları için gecikmiş yürütme işleminden yararlanmak.
Bu kampanya, kuruluşların çok katmanlı bir güvenlik duruşunu benimsemeleri için kritik ihtiyacı vurgulamaktadır.
Konni Apt grubu tarafından gizlenmiş senaryoların ve sıçanların kullanılması, geleneksel savunmaları atlamak için uyarlanabilirliklerini ve kararlılıklarını gösterir.
Rapora göre, devlet destekli tehditler gelişmeye devam ettikçe, işletmeler bu tür karmaşık saldırılara karşı korunmak için gelişmiş uç nokta tespiti, e-posta güvenliği ve web filtreleme çözümlerine öncelik vermelidir.
Symantec ve VMware’in kapsamlı kapsamı güçlü bir koruma sunar, ancak düzenli güvenlik denetimleri, kimlik avı bilinci konusunda çalışan eğitimi ve güvenlik politikalarındaki zamanında güncellemeler riskleri azaltmak için gerekli olan proaktif önlemler.
Koni Apt’ın son operasyonu, jeopolitik olarak hassas bölgelerde organizasyonların karşılaştığı kalıcı siber tehditlerin, müstahkem siber güvenlik savunmalarına derhal dikkat çekmesini sağlıyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!