Kuzey Koreli bilgisayar korsanları, kimlik avı saldırılarında VCD kötü amaçlı yazılım kullanarak casusluktan fidye yazılımına geçiş scarcruft, Güney Kore’yi gelişmiş araçlarla hedefliyor. Bu yeni kötü amaçlı yazılımların casusluktan finansal olarak motive olmuş siber saldırılara nasıl geçtiğini keşfedin.
Tanınmış bir Kuzey Koreli hack grubu Scarcruft, yöntemlerini değiştiriyor ve her zamanki casusluk oyun kitabına yeni bir saldırı ekliyor. Güney Koreli firma S2W’den siber güvenlik uzmanları kısa süre önce Scarcruft’un şimdi VCD adlı yeni bir fidye yazılımı kullandığını gösteren bir rapor yayınladı.
Grup geleneksel olarak Güney Kore, Japonya ve Rusya gibi ülkelerdeki yüksek profilli insanlardan ve devlet kurumlarından bilgi çalmaya odaklandığından bu kritik bir değişimdir.
Grubun Chinopunk adlı bir alt grup tarafından gerçekleştirilen son kampanyası Temmuz ayında gerçekleşti ve Güney Kore’deki insanları hedeflemek için kimlik avı e -postaları kullandı. Bu e -postalar, posta kodları için bir güncelleme olarak gizlenmiş zor bir dosya içeriyordu.
Açıldıktan sonra, bu dosya kurbanın bilgisayarına, ChillyChino adlı bilinen bir kötü amaçlı yazılımın yeni bir varyantı ve Rust Programlama dilinde yazılmış bir arka kapı da dahil olmak üzere dokuzdan fazla farklı kötü amaçlı yazılım türüyle enfekte oldu. Bunlar arasında Lightpeek ve Fadestealer gibi bilgi çalma programlarının yanı sıra, bilgisayar korsanlarının bilgisayarı gizlice kontrol etmesine izin veren Nubspy adlı bir arka kapı vardı.
Bu arka kapı özellikle akıllıdır, çünkü normal ağ etkinliğinde kötü niyetli trafiğini gizlemek için Pubnub adlı gerçek zamanlı bir mesajlaşma hizmeti kullanır. Bu kampanya da dikkat çekicidir, çünkü bir kişinin dosyalarını kilitleyen ve fidye talep eden yeni VCD fidye yazılımlarını içermektedir. Fidye notu hem İngilizce hem de Korece’de bile mevcuttur.
S2W’nin Tehdit Analizi ve İstihbarat Merkezi’ne (Talon) göre, bu yeni yaklaşım Scarcruft’un casusluk faaliyetlerine finansal olarak motive olmuş hedefler ekleyebileceğini gösteriyor. Grup, ülkenin hükümeti için birçok ekonomik yaptırımla karşı karşıya olduğu bilinen daha büyük bir Kuzey Koreli bilgisayar korsanı ağının bir parçasıdır.
Geçen yıl bir Birleşmiş Milletler raporu (PDF), Lazarus ve Kimuky gibi gruplar da dahil olmak üzere Kuzey Koreli bilgisayar korsanlarının altı yıl boyunca yaklaşık 3 milyar dolar çaldığını belirtti.
DeepTempo firmasında AI mühendisi kuran Mayank Kumar, bu evrim hakkında yorum yaptı ve bu saldırıların nasıl daha karmaşık hale geldiğini vurguladı. Yorumunu hackread.com ile paylaşan Kumar, Scarcruft’un her zamanki casusluk araçlarının yanında fidye yazılımı kullanımının, ulus destekli hackleme ve cezai taktiklerin birleştiği yeni bir eğilim gösterdiğini söyledi.
“Gelişmiş kalıcı tehdit grupları, araç setlerini genişletmeli ve casusluk ve siber suçlar arasındaki çizgiyi bulanıklaştırmalıdır. Savunucular, fidye yazılımının çok aşamalı bir operasyonda bir unsur olduğu kampanyalara hazırlanmalıdır. Ağ trafiği, sistem olayları ve güvenlik günlükleri arasında, güçlü segmentasyon, hızlı muhafaza ile eşleştirilmiş, bu tür insanlara yönelik ve görülür, bu tür insanlara karşı ve görülür,” bu tür insanlara karşı, bu tür insanlara karşı ve görülür, ”hem tehdit”, hem de uyumludur ”. Kumar önerdi.