SILENT CHOLLIMA, Andariel, DarkSeoul, Stonefly ve TDrop2 olarak da bilinen siber casusluk grubu Onyx Sleet, ağırlıklı olarak ABD, Güney Kore ve Hindistan’daki askeri, savunma sektörü ve teknolojiyi hedef alıyor.
Grup, geçmişte hedefli kimlik avı yöntemlerini kullanmıştı ancak artık Ekim 2023’te TeamCity’ye yaptıkları saldırıda olduğu gibi, N günlük güvenlik açıklarını da kullanmaya başladılar.
İşlevselliği geliştirmek ve tespit edilmekten kaçınmak için Onyx Sleet, açık kaynaklı araçları özelleştirilmiş araçlarla birleştiriyor ve sürekli olarak yeni RAT’lar geliştiriyor.
Ekip, komuta ve kontrol operasyonları için kiralanan sanal özel sunucuları veya tehlikeye atılmış bulut altyapısını kullanıyor.
Microsoft’taki siber güvenlik araştırmacıları, yakın zamanda Onyx Sleet’in arkasındaki operatörlerin Kuzey Kore adına istihbarat toplamak için çeşitli kötü amaçlı yazılımları aktif olarak kullandığını keşfetti.
Join our free webinar to learn about combating slow DDoS attacks, a major threat today.
Kuzey Kore Onyx Karlısı
ABD Adalet Bakanlığı, 25 Temmuz 2024’te Microsoft tarafından 2014’ten beri takip edilen Kuzey Koreli siber tehdit aktörü Onyx Sleet ile bağlantılı bir kişiyi suçladı.
Siber casusluk ve son zamanlarda da finansal kazanç elde etmekle bilinen bu grup, özellikle savunma, mühendislik ve enerji sektörlerindeki küresel kuruluşları hedef almak için özel araçlar ve gelişen kötü amaçlı yazılımlar kullanıyor.
Onyx Sleet’in, altyapı ve fidye yazılımı geliştirme konusunda diğer Kuzey Koreli aktörlerle, özellikle de Storm-0530 ile bağlantıları olduğu görülüyor.
Microsoft, Onyx Sleet’in faaliyetlerini izlemek için FBI ile iş birliği yapıyor, etkilenen müşterileri doğrudan bilgilendiriyor ve bu kalıcı tehditlerle mücadele için güvenlik rehberliği sağlıyor.
Onyx Sleet, Mayıs 2024’te Güney Koreli bir eğitim kurumunu, bir inşaat şirketini ve bir üretim organizasyonunu hedef aldı.
Burada maddi kazanç elde etmek, online kumar sitelerine ilgi duymalarının sebebi olabilir.
Onyx Sleet, özel fidye yazılımları oluşturarak ve kampanyalarında kalıcı TTP’ler bırakmadan Dtrack RAT’ı kullanarak yöntemlerini değiştirdi.
Güvenlik analistleri, Dtrack RAT’ı Eylül 2019’dan Ocak 2024’e kadar dünya çapında gözlemlediler. Log4j (CVE-2021-44228) gibi kusurlardan yararlandı ve kaçınma amacıyla imzalı yükler kullandı.
.webp)
AhnLab Güvenlik İstihbarat Merkezi, Mayıs 2024’te grubun saldırı zincirinin yapı bakımından benzer kalırken nasıl evrimleştiğini gösteren bir kampanyayı ortaya çıkardı.
Aşağıda Onyx Sleet’in yakın zamanda istismar ettiği tüm güvenlik açıklarından bahsettik:
Onyx Sleet, Güney Koreli kuruluşları hedef alan bir kampanyada Go tabanlı Dora RAT’ı tanıttı. Grup, tespit edilmekten kaçınmak için özel şifreleme, karartma ve bellek içi yürütme kullanıyor.
Araç setlerinde TDrop2 gibi özel kötü amaçlı yazılımlar, Sliver gibi hazır araçlar ve Themida gibi ticari paketleyiciler yer alıyor.
Ocak 2024’te Onyx Sleet, geçersiz bir Tableau sertifikasıyla imzalanmış bir Sliver implantı konuşlandırdı ve bu implant, havacılık ve savunma organizasyonlarını Ekim 2023’ten Haziran 2024’e kadar tehlikeye attı.
Grup, uzak masaüstleri, veri kaybı önleme, ağ erişim kontrolü ve EDR ürünleri de dahil olmak üzere çeşitli uygulamaları hedef alarak, öncelikle Güney Koreli kullanıcıları etkileyen, iyi bilinen ve özel güvenlik açıklarından yararlanıyor.
Onyx Sleet’in saldırılarında kullanılan özel kötü amaçlı yazılım aileleri TigerRAT, SmallTiger, LightHand ve ValidAlpha’dır.
Öneriler
Aşağıda sunulan önerilerden bazılarını sizler için derledik:
- Yazılımınızı derhal güncellediğinizden emin olun.
- Güvenlik yamalarını hemen uygulayın.
- AV aracınızda bulut tabanlı korumayı etkinleştirin.
- Ağ korumasını etkinleştirin.
- Diğer AV çözümlerinin kaçırdığı tehditleri engellemek için EDR’yi blok modunda kullanın.
- Soruşturma ve düzeltmeyi tam otomatik moda ayarlayın.
Protect Your Business Emails From Spoofing, Phishing & BEC with AI-Powered Security | Free Demo