Kuzey Koreli İleri İleri Kalıcı Tehdit (APT) bilgisayar korsanları, özellikle Konni Grubu, oturum açma kimlik bilgilerini çalmayı ve kötü amaçlı yazılım dağıtmayı amaçlayan hedefli bir kimlik avı kampanyasında Ukrayna hükümet ajanslarına odaklandı.
Şubat 2025’te gözlemlenen bu saldırı, grubun geleneksel hedeflerinden dikkate değer bir farklılığa işaret ediyor ve özellikle Kuzey Kore’nin 2024’ün sonlarında Rusya’yı desteklemek için bildirilen birlik konuşlandırmasının ardından Rusya ile potansiyel stratejik ittifaklar hakkında sorular ortaya koyuyor.
Operasyonun, muhtemelen güçlerine yönelik riskleri değerlendirmek veya devam eden çatışmada ek destek taleplerini yerine getirmek için eleştirel zeka toplamak için daha geniş bir çabanın parçası olduğuna inanılmaktadır.
.png
)
Koni Group kimlik avı kampanyasını başlattı
Konni Group’un bu kampanyadaki modus operandi hem aldatıcı hem de teknik olarak ustadır.
Saldırganlar, Microsoft güvenlik uyarıları olarak gizlenmiş kimlik avı e -postaları göndererek işlemi başlattı ve meşruiyet kaplamasını geliştirmek için bir proton posta hesabı kullandı.
Bu e-postalar, şüphesiz alıcıları kimlik bilgisi hasat web sitelerine yönlendiren kötü amaçlı bağlantıları tıklamaya teşvik etti.
Ayrıca, e -postalar, Konni kötü amaçlı yazılımları etkileşim üzerine dağıtmak için tasarlanmış HTML ekleri içeriyordu.
Kötü amaçlı yazılım dağılımına, PowerShell kullanılarak Sofistike Komuta ve Kontrol (C2) iletişimi eşlik etti ve saldırganların kalıcılığı korumasını ve hassas verileri gizli bir şekilde söndürmesini sağladı.
Hasarın tam kapsamı doğrulanmamış olsa da, Ukrayna hükümet kuruluşlarına odaklanma, kritik altyapıyı zayıflatmak veya jeopolitik gergin bir dönemde stratejik anlayışlar elde etmek için kasıtlı bir girişim önermektedir.
TA-Rastant genişliyor
Konni Grubunun çabalarının ötesinde, başka bir Kuzey Koreli APT fraksiyonu olan Ta-Rastant, Kuzey Kore ile ilgili faaliyetlerde yer alan Güney Kore Ulusal Güvenlik düşünce kuruluşlarını ve kuruluşları hedeflemede aktif olmuştur.
Mart 2025’te Ta-Rastant, Güney Kore güvenlik düşünce kuruluşunun ev sahipliği yaptığı akademik bir etkinlik olarak gizlenmiş bir mızrak aktı saldırısı gerçekleştirdi.
Saldırganlar, erişildiğinde Rokrat kötü amaçlı yazılımını bir LNK kısayol dosyası aracılığıyla yürüten bir Dropbox bağlantısı içeren bir zip dosyası dağıttılar.
Bilinen bir Internet Explorer güvenlik açığından (CVE-2022-41128) yararlanan grup, algılama çabalarını karmaşıklaştırarak güvenilir siteler (lot) tekniği altında C2 sunucuları olarak meşru bulut hizmetlerini kullandı.
Saldırı repertuarları, Windows sistemlerinin ötesine uzanıyor, Android kullanıcılarını kötü amaçlı APS’li ve macOS kullanıcılarını özel istismarlarla hedefliyor ve çok platformlu bir casusluk stratejisi sergiliyor.
Kuzey Kore APT faaliyetlerinin daha geniş eğilimi, jeopolitik zeka ve siber güvenlik gibi sızan endüstrilere ikili bir odaklanma ortaya koymaktadır.
Raporlar, Kuzey Koreli operatörlerin, özgeçmişleri manipüle etmek için yapay zeka kullanarak ve hatta hassas sektörlerde istihdam kazanmak için kadın olarak gizlediklerini kullanan iş başvurusu yapanlar olarak giderek daha fazla poz verdiğini göstermektedir.
Bu infiltrasyon taktiği, gelişen siber saldırı metodolojileri ile birleştiğinde, Kuzey Kore tehdit aktörlerinin artan sofistike ve uyarlanabilirliğinin altını çiziyor.
Bu gruplar, Ukrayna devlet kurumlarından Güney Kore düşünce kuruluşlarına kadar çeşitli bölgeleri ve endüstrileri hedeflemeye devam ettikçe, küresel siber güvenlik topluluğu, kimlik avı, kötü amaçlı yazılım dağıtımı ve sosyal mühendislik tarafından kolaylaştırılan içeriden gelen tehditlere karşı savunmaları artırmalıdır.
Siber casusluğun jeopolitik manevralarla kesişmesi, özellikle Kuzey Kore’nin Rusya ile hizalanması bağlamında, bu kalıcı ve gelişen tehditlere etkili bir şekilde karşı koymak için uluslararası işbirliğinin artmasına ihtiyaç olduğunu işaret ediyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin