Dalış Özeti:
- Kuzey Kore hükümetine bağlı bilgisayar korsanları, Nisan ve Eylül ayları arasında çok sayıda ulus devlet siber saldırısından sorumluydu. Trellix’in Perşembe günü yayınladığı bir tehdit raporu.
- Pyongyang’ın siber ordusu, kötü amaçlı yazılım içermeyen izinsiz giriş yöntemleri de dahil olmak üzere daha karmaşık hackleme teknikleri kullanıyor.
- Trellix raporunda, Kuzey Kore siber saldırılarının “kimlik avı ve casusluktan istihdama dayalı sızmaya kadar derinleştiğini ve çeşitlendiğini” belirterek, “bu nedenle hem kuruluşlardan hem de hükümetlerden daha dinamik, istihbarat odaklı bir yanıt talep ediyor” dedi.
Dalış Bilgisi:
Trellix raporunda, “Kuzey Kore’ye bağlı gruplar tehdit tespit ortamına hakimdir” dedi. Ünlü Lazarus Grubu, Trellix’in tespitlerinin %8,6’sını oluşturarak listenin başında yer alırken, Andariel ve Kimsuky sırasıyla ikinci ve üçüncü sırada yer alıyor.
Kuzey Kore’ye bağlı gruplar, Trellix’in tespit ettiği tüm ulus devlet bağlantılı faaliyetlerin %18,2’sini oluşturuyor.
Trellix, bulgunun Kuzey Kore’nin siber faaliyetlerinde “önemli bir artışı temsil ettiğini” söyledi ve ülke operatörlerinin dikkatli ve tespit edilmesi zor saldırı stratejileri izlediğini kaydetti. uzak BT çalışanı planları.
Rapora göre, ulus-devlet hacker grupları genel olarak kötü amaçlı yazılımlardan ve güvenlik açıklarından kaçınarak arazide yaşama tekniklerini tercih ediyor. Yerleşik Windows özellikleri Komut İstemi ve PowerShell, bilgisayar korsanlarının en sık kullandıkları araçlar listesinin başında yer aldı; Trellix, bunun “normal ağ etkinliğine uyum sağlamak üzere tasarlanmış gelişmiş kaçınma stratejilerinin kullanımıyla” tutarlı olduğunu söyledi.
Şirket, tehdit raporunun “olgunlaşmış bir durumu” ortaya çıkardığını söyledi. [advanced persistent threat] yerleşik araç tercihleri, sürekli inovasyon ve stratejik istihbarat hedefleriyle net uyum sağlayan ekosistem.”
Trellix, bu tehdit ortamını ele almak için güvenlik liderlerinin özel saldırı araçlarını ve meşru süreçlerin kötüye kullanımını tespit edebilecek “katmanlı savunmalar uygulaması gerektiğini” söyledi. Buna bağlamsal bilgileri kullanarak davranışsal anormallikleri tanımlayabilen tespit yazılımı da dahildir. sıfır güven ilkeleri en az ayrıcalıklı erişim ve yüksek değerli varlıkların izolasyonu gibi. Sistem yöneticileri ayrıca, ağ üzerinde gezinmek isteyen bilgisayar korsanlarının en önemli hedefleri olan ayrıcalıklı hesaplara erişimi de sıkı bir şekilde uygulamalıdır.
Trellix, “SOC, BT ve tehdit istihbaratı ekipleri arasındaki işbirliği, alışılmadık komut satırı kullanımı veya meşru kimlik bilgileri üzerinden yanal hareket gibi ince sapmaların erken tespit edilmesini sağlıyor” dedi.
Raporda ayrıca şunu da tespit edildi: telekomünikasyon sektörü saldırıların %71’ini oluşturarak hem siber suçluların hem de ulus devlet bilgisayar korsanlarının ana hedefiydi. Teknoloji, ulaşım, ticari hizmetler ve finans ilk beşte yer aldı.
İlginç bir şekilde, ulus devlet hackleme kurbanlarının tespitinde en çok tespit edilen ülke %33 ile Türkiye olurken, ABD %24 ile ikinci sırada yer alıyor. Trellix, Türkiye’nin öne çıkmasının “potansiyel olarak Avrupa ve Asya arasındaki stratejik konumu, kritik altyapısı ve bölgesel jeopolitik gerilimlerle ilgili koordineli kampanyaları” yansıttığını öne sürdü. Bilgisayar korsanları ağırlıklı olarak Türkiye’nin telekom ağlarına odaklanırken, ABD’deki faaliyetler teknoloji ve iş hizmetleri arasında daha eşit bir şekilde dağıldı.
Trellix, “Kuruluşlar, açık jeopolitik motivasyonlara sahip kalıcı, hedefli kampanyalarla karakterize edilen olgun bir APT ekosistemiyle karşı karşıyadır” dedi. “Kritik altyapı sektörlerindeki faaliyetlerin yoğunlaşması, devlet destekli aktörlerin hakimiyetiyle birleştiğinde, APT operasyonlarının yalnızca finansal motivasyonlardan ziyade giderek daha fazla ulusal güvenlik hedefleriyle uyumlu hale geldiğini gösteriyor.”