Siber Savaş / Ulus Devlet Saldırıları , Uç Nokta Güvenliği , Dolandırıcılık Yönetimi ve Siber Suçlar
Eset, Discovery’nin Kuzey Kore’nin 3CX Saldırısıyla Bağlarını Güçlendirdiğini Söyledi
Akşaya Asokan (asokan_akshaya) •
21 Nisan 2023
Linux masaüstü kullanıcılarını hedef alan Kuzey Koreli bir arka kapı, 3CX yazılım tedarik zinciri hack’inin arkasındaki bilgisayar korsanlığı grubuyla altyapıyı paylaşıyor.
Ayrıca bakınız: Uç Nokta Yönetim Çözümlerinin Fidye Yazılım Riskini Azaltmadaki Kritik Rolü
Siber güvenlik firması Eset’ten güvenlik araştırmacıları, arka kapıyı analiz ettiler ve onu genellikle Operasyon Rüya İşi olarak bilinen bir Pyongyang sahte işe alma kampanyasıyla ilişkilendirdiler (bkz: Kuzey Koreli Hackerlar LinkedIn’de Değer Buldu). Eset, Kuzey Koreli bilgisayar korsanlarının “tüm büyük masaüstü işletim sistemleri için kötü amaçlı yazılım üretip kullanabileceğini” söyledi: Windows, macOS ve Linux.
Kuzey Koreli bilgisayar korsanları, Mart ayı sonlarında kamuya açıklanan bir saldırıda masaüstü telefon sağlayıcısı 3CX’in kaynak kodunu Truva atı haline getirdi. Bu haftanın başlarında Mandiant’tan araştırmacılar, bulaşmanın kaynağının Chicago’lu bir finansal ticaret yazılımı geliştiricisi olan Trading Technologies’e karşı yapılan başka bir yazılım tedarik zinciri saldırısına kadar izini sürdüklerini söylediler. Cuma günü Symantec’ten araştırmacılar, Trading Technologies hack’inin başka kurbanlarını belirlediklerini söylediler (bkz:: Symantec: Daha Fazla X_Trader Tedarik Zinciri Saldırısı Ortaya Çıktı).
Bilgisayar korsanları, Eset tarafından analiz edilen Linux arka kapı örneğini, İngiliz çok uluslu banka HSBC tarafından varsayılan olarak genişletilen bir yazılım geliştirme teklifi olarak gizledi.
PDF teklif mektubuna çift tıklayan herkes, SimplexTea olarak adlandırılan Eset Linux işletim sistemi için bir arka kapı indirebilir. Eset, SimplexTea ile Badcall adlı Windows bilgisayarları için zaten tanımlanmış bir Kuzey Kore arka kapısı arasındaki benzerlikleri belirledi – TLS bağlantısı için bir ön cephe olarak kullanılan aynı etki alanı kümesi dahil.
SimplexTea arka kapısı ayrıca, Kuzey Kore’nin ateşli helikopter ölümünü tasvir eden bir komedi olan “The Interview” filminin yayınlanmasından önce 2014 yılında Sony Pictures’ı sabote etmek için Kuzey Koreli bilgisayar korsanları tarafından kullanılan Windows kötü amaçlı yazılımındaki A5/1 şifresinin özel bir uygulamasını kullandı. Koreli kalıtsal diktatör Kim Jong Un.
Eset, arka kapı ile 3CX bilgisayar korsanlarının Trojanlaştırılmış VoIP yazılımı tarafından indirilen kötü amaçlı yazılımın aynı ağ altyapısını paylaştığını söyleyerek daha fazla bağlantı kurar. Her kullanım journalide.org bir komuta ve kontrol alanı olarak. SimplexTea ve 3CX kötü amaçlı yazılımı da yapılandırmalarını çok benzer bir şekilde yükler.
Eset, Kuzey Koreli aktörlerin Lazarus Grubu olduğunu söyledi, ancak Mandiant onların büyük ihtimalle AppleJeus olarak da tanımlanan, finansal olarak motive edilmiş bir Pyongyang bilgisayar korsanlığı faaliyeti olan UNC4736’ya ait olduğunu belirtiyor.