Kuzey Koreli İleri İleri Kalıcı Tehdit (APT) Grupları, Ukrayna hükümet ajanslarına karşı geleneksel hedefleme kalıplarından önemli bir ayrılma işaret ederek sofistike bir siber kampanya başlattı.
Odak noktasındaki bu değişim, Kuzey Kore’nin 2024 sonbaharında Rusya’yı desteklemek için birlikler konuşlandırdığı için Rus çıkarlarıyla potansiyel olarak stratejik bir uyumu temsil ediyor.
Şubat 2025’te yoğunlaşmaya başlayan saldırılar, siber savaşın gelişen jeopolitik manzarasını ve devlet destekli hack operasyonlarının artan birbirine bağlı olduğunu gösteriyor.
.png
)
Kampanya öncelikle Ukrayna hükümet ağlarında kalıcı erişim sağlamak için kötü amaçlı yazılım dağıtımı ile birlikte kimlik bilgisi hasat tekniklerini kullanıyor.
Tipik olarak finansal kurumlara veya kripto para birimi borsalarına odaklanan önceki Kuzey Kore operasyonlarından farklı olarak, bu saldırılar stratejik zeka toplamak ve askeri yetenekleri değerlendirmek için tasarlanmıştır.
Zamanlama, devam eden jeopolitik gerilimlerle çakışır, bu operasyonların birlik dağıtım risklerini ve potansiyel destek gereksinimlerini değerlendirmek için daha geniş zeka toplama çabalarının bir parçası olabileceğini düşündürmektedir.
ASEC analistleri, Konni Group’u dikkatle hazırlanmış kimlik avı kampanyaları aracılığıyla bu saldırıları düzenleyen birincil tehdit oyuncusu olarak tanımladı.
Grubun metodolojisi, Microsoft güvenlik uyarıları olarak gizlenmiş aldatıcı e -postaların gönderilmesini, operasyonel güvenliği korumak ve algılamadan kaçmak için proton posta hesaplarını kullanmayı içerir.
Alıcılardan, devlet personelinden kimlik doğrulama bilgilerini toplamak için tasarlanmış kimlik bilgisi toplama sitelerine yönlendiren kötü niyetli bağlantıları tıklamaları istenir.
Enfeksiyon mekanizması analizi
Teknik uygulama, çok aşamalı yük sunumu ile birlikte sofistike sosyal mühendisliği ortaya koymaktadır.
İlk saldırı vektörü, meşru güvenlik bildirimleri olarak maskelenen mızrak-akma e-postaları yoluyla dağıtılan HTML ekleri kullanır.
Yürütme üzerine, bu HTML dosyaları PowerShell komut dosyalarını kullanarak komut ve kontrol iletişim kanalları oluşturur ve tehlikeye atılan sistemlere uzaktan erişim sağlar.
Kötü amaçlı yazılımların kalıcılık mekanizması, normal sistem işlemleriyle harmanlanan ve algılamayı zorlaştıran PowerShell tabanlı iletişim protokollerine dayanır.
Bu yaklaşım, Konni grubunun keşif faaliyetleri yaparken uzun vadeli erişimi sürdürmesini sağlar.
PowerShell uygulaması, Avrupa Hükümeti altyapısını hedefleyen Kuzey Kore siber yeteneklerinde önemli bir evrimi temsil eden ek yüklerin uygulanması ve hedeflenen ağlarda yanal hareket yapmak için esneklik sağlar.
Herhangi biriyle tehdit tepkisini otomatikleştirin. -> Tam erişim isteyin