Microsoft, Kuzey Koreli bir tehdit aktörü tarafından hem casusluk hem de parasal kazanç elde etmek amacıyla yazılım, bilgi teknolojisi, eğitim ve savunma sanayi temel sektörlerindeki kuruluşları hedeflemek için kullanılan yeni bir “FakePenny” fidye yazılımı varyantını ortaya çıkardı.
Microsoft’un Moonstone Sleet olarak takip ettiği tehdit aktörünün, ilk olarak Nisan ayında, birkaç ay önce ağlarını tehlikeye attığı adı açıklanmayan bir şirkete yeni bir özel fidye yazılımı çeşidi teslim ettiği gözlemlendi.
Fidye yazılımı basittir ve bir yükleyici ve bir şifreleme modülü içerir. Teknoloji devi, Kuzey Koreli tehdit aktörü gruplarının daha önce bu tür özel fidye yazılımı geliştirdiğini ancak “bu tehdit aktörünün fidye yazılımı dağıttığını ilk kez gözlemliyoruz” dedi.
“Microsoft, Moonstone Sleet’in fidye yazılımını yaymadaki amacının finansal kazanç olduğunu değerlendiriyor ve aktörün hem istihbarat toplamak hem de gelir elde etmek için siber operasyonlar yürüttüğünü öne sürüyor.”
FakePenny fidye yazılımı fahiş fidye talep ediyor ve son talepler Bitcoin olarak 6,6 milyon dolara ulaştı. Microsoft, “Bu, WannaCry 2.0 ve H0lyGh0st gibi önceki Kuzey Kore fidye yazılımı saldırılarının düşük fidye talepleri ile tam bir tezat oluşturuyor” dedi.
Özellikle, FakePenny fidye yazılımı tarafından kullanılan fidye notu, Kuzey Koreli grup Seashell Blizzard’a atfedilen kötü şöhretli NotPetya fidye yazılımı saldırısında kullanılan fidye notuna çok benziyor. Taktiklerdeki bu süreklilik, Kuzey Kore siber operasyonlarının birbirine bağlı doğasını vurgulamaktadır.
Moonstone Sleet’in Stratejisi ve Ticareti
Moonstone Sleet’in mali ve casusluk hedeflerini destekleyen çok çeşitli operasyonları var. Bu grubun sahte şirketler oluşturduğu, meşru araçların truva atı haline getirilmiş sürümlerini kullandığı ve hatta hedeflere sızmak için kötü amaçlı oyunlar geliştirdiği gözlemlendi. Eşzamanlı operasyonları yürütme ve tekniklerini hızla geliştirip uyarlama yetenekleri dikkate değerdir.
Tehdit aktörünün, daha önce de belirtildiği gibi, birçok farklı ticari faaliyeti vardır. Ağustos 2023’ün başlarında Moonstone Sleet, LinkedIn, Telegram ve serbest çalışma web siteleri gibi platformlar aracılığıyla açık kaynaklı bir terminal emülatörü olan PuTTY’nin güvenliği ihlal edilmiş bir sürümünü sundu. Truva atı haline getirilen yazılım, kullanıcı, tehdit aktörünün gönderdiği kötü amaçlı Zip dosyasında yer alan bir metin belgesinde belirtilen IP ve parolayı sağladığında, yerleşik kötü amaçlı yazılımın şifresini çözdü ve çalıştırdı. Aynı teknik başka bir Kuzey Koreli aktör Diamond Sleet tarafından da kullanıldı.
Moonstone Sleet ayrıca serbest çalışma siteleri ve sosyal medya aracılığıyla dağıtılan kötü amaçlı “npm” paketlerini kullanarak kurbanları hedef aldı. Genellikle teknik değerlendirmeler gibi görünen bu paketler, yürütüldüğünde ek kötü amaçlı yazılım indirmelerine yol açar.
Moonstone Sleet, Şubat 2024’ten bu yana cihazlara virüs bulaştırmak için DeTankWar adlı kötü amaçlı bir oyun kullanarak farklı bir yaklaşım benimsedi. Grup, hedeflere oyun geliştiricisi veya sahte şirket gibi davranarak, oyunu bir blockchain projesi olarak sunarak yaklaştı. Oyunun başlatılmasının ardından, “YouieLoad” olarak bilinen özel bir kötü amaçlı yazılım yükleyiciyi çalıştıran ek kötü amaçlı DLL’ler yüklendi. Bu yükleyici, ağ ve kullanıcı keşfini ve tarayıcı veri toplama işlemini gerçekleştirir.
Sahte Şirketler ve İşe Alım Planları
Ocak 2024’ten bu yana Moonstone Sleet, hedefleri kandırmak için StarGlow Ventures ve CC Waterfall dahil olmak üzere birçok sahte şirket kurdu. Bu şirketler, güven oluşturmak ve kuruluşlara erişim kazanmak için genellikle blockchain ve yapay zeka ile ilgili yazılım geliştirme ve BT hizmet firmaları gibi davrandılar.
Moonstone Sleet ayrıca meşru şirketlerde istihdam fırsatlarını da araştırdı; bu, Kuzey Kore’nin gelir elde etmek için uzak BT çalışanlarını kullandığı yönündeki raporlarla tutarlıdır. Son zamanlarda ABD, nükleer programını desteklemek için fon toplayan Kuzey Kore’yi iş dolandırıcılığıyla suçladı. Bağlantı noktası 300’den fazla ABD şirketini dolandırdı ve en az 6,8 milyon dolar biriktirdi.
Bu istihdam taktiği aynı zamanda kuruluşlara yetkisiz erişim elde etmek için başka bir yol da sağlayabilir.
Moonstone Sleet’in dikkate değer saldırıları arasında, kimlik bilgilerini ve fikri mülkiyet haklarını çalmak için bir savunma teknolojisi şirketini tehlikeye atmak ve bir drone teknoloji firmasına karşı fidye yazılımı dağıtmak yer alıyor.
“Yeni olmasına rağmen Moonstone Sleet olgunlaşmaya, gelişmeye ve gelişmeye devam edeceğini gösterdi ve kendisini Kuzey Kore rejimi adına karmaşık saldırılar gerçekleştiren önde gelen bir tehdit aktörü olarak konumlandırdı.”
Aytaşı Karla karışık yağmuruna Karşı Savunma
Microsoft, Moonstone Sleet’e karşı savunma sağlamak için uç nokta algılama ve yanıt (EDR), e-posta istemcilerinden ve web postasından yürütülebilir içeriği engellemek için saldırı yüzeyi azaltma kurallarının uygulanmasını, belirli kriterleri karşılamadıkça yürütülebilir dosyaların çalışmasının engellenmesini, fidye yazılımlarına karşı gelişmiş koruma kullanılmasını ve engellenmesini önerir. LSASS’tan kimlik bilgilerinin çalınması.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.