ABD ve Güney Kore ajansları, Kuzey Koreli bilgisayar korsanlarının, ülkelerin kritik altyapısının bir parçası olarak kabul edilebilecek hastanelere ve diğer kuruluşlara “devlet destekli” fidye yazılımı yerleştirmek için kullandıkları taktikleri, teknikleri ve prosedürleri açıklayan ortak bir siber güvenlik danışmanlığı yayınladı.
Yazar ajanslar, bu kripto para birimi işlemlerinden elde edilen belirsiz miktarda gelirin, Amerika Birleşik Devletleri ve Güney Kore hükümetlerini hedef alan siber operasyonlar da dahil olmak üzere KDHC’nin ulusal düzeydeki önceliklerini ve hedeflerini desteklediğini değerlendiriyor; özel hedefler arasında Savunma Bakanlığı Bilgi Ağları ve Savunma Sanayi Üssü üye ağları yer alıyor. , ” danışma belgesine dikkat çekiyor.
Eşzamanlı olarak Güney Kore, gelirleri Kuzey Kore nükleer ve askeri programlarını finanse etmek için kullanılan bu ve diğer devlet onaylı siber suçlara karıştıkları için dört Kuzey Koreli kişiye ve yedi kuruluşa yaptırım uyguladı.
Saldırganların TTP’leri
Ajanslar, bu Kuzey Koreli tehdit aktörlerinin etki alanları, kişiler ve hesaplar oluşturduğunu ve bunları çalıntı kripto para birimiyle veya şifrelenmiş veriler için fidye olarak alınan kripto para birimiyle ödediğini söylüyor.
“Üçüncü taraf yabancı iştirak kimlikleri altında veya altında faaliyet göstererek ve fidye ödemeleri almak için üçüncü taraf yabancı aracıları kullanarak katılımlarını kasıtlı olarak gizlerler” ve “sanal özel ağlar (VPN’ler) ve sanal özel sunucular (VPS’ler) veya üçüncü ülke kullanırlar. IP adreslerinin Kore Demokratik Halk Cumhuriyeti’nden değil, zararsız konumlardan geldiği anlaşılıyor.”
Operasyonel hatalar bazen onları ele veriyor: Örneğin, kamu ve özel sektör araştırma kuruluşlarını ve tıbbi araştırma ve enerji sektörünü hedef alan yakın zamanda belgelenmiş bir kampanyada, araştırmacılar bir Kuzey Kore devlet internet IP adresine bağlanan web kabuklarından birini buldular.
“Bunun, iş günlerinin başındaki bir opsec hatası olduğundan şüpheleniyoruz. Kuzey Kore’de ÇOK az sayıda IP adresi var ve bunlar doğrudan hükümet tarafından kontrol ediliyor.” kayıt edilmiş WithSecure Baş Araştırma Görevlisi Mikko Hyppönen.
Kuzey Koreli bilgisayar korsanları, Log4Shell ve SonicWall cihazlarındaki güvenlik açıkları dahil olmak üzere hedeflerin sistemlerine ilk erişim sağlamak için çeşitli güvenlik açıklarından yararlanır. Ayrıca, keşif faaliyetlerini gerçekleştirmek için truva atı haline getirilmiş yazılımlar, özelleştirilmiş kötü amaçlı yazılımlar kullanırlar, özel olarak geliştirilmiş veya halka açık fidye yazılımları kullanırlar (ve bazen diğer bilinen fidye yazılımı gruplarının kimliğine bürünürler) ve kripto para cinsinden fidye talep ederler.
“Aktörlerin kurbanlarla Proton Mail e-posta hesapları aracılığıyla iletişim kurduğu biliniyor. Ajanslar, sağlık sektöründeki özel şirketler için, fidye ödenmezse bir şirketin özel verilerini rakiplerine ifşa etmekle tehdit edebilir” diyor. Mağdurlara yardımcı olmak için, danışma belgesi tehdit azaltma önerileri ve uzlaşma göstergeleri içerir.
Mandiant Tehdit İstihbaratı başkanı John Hultquist Perşembe günü, birkaç hastanenin bu Kuzey Kore harekatı nedeniyle büyük aksamalara göğüs germek zorunda kaldığını ve “hastanelerin ödeme yapması veya sessizce onarması ve çok azının rapor vermesi” nedeniyle bu faaliyetlerin çoğunun gizlendiğini belirtti.
“Kuzey Koreliler, bilinen fidye yazılım aktörleri gibi davranarak ellerini saklıyorlar. Atıf ve kamuoyunun ilgisi olmadan bu sorun ortadan kalkmayacak” dedi. katma.