Kuzey Kore devlet destekli bilgisayar korsanları, yakın zamanda iki siber saldırı kampanyasıyla ilişkilendirildi: biri JumpCloud’a hedefli kimlik avı saldırısı, diğeri ise bir sosyal mühendislik kampanyası aracılığıyla GitHub’daki teknoloji çalışanlarını hedef alıyor.
JumpCloud ihlali
Hizmet platformu olarak bulut tabanlı bir dizin sunan bir kurumsal yazılım şirketi olan JumpCloud, 27 Haziran’da dahili bir orkestrasyon sisteminde bazı olağan dışı etkinlikler fark etti ve bunun izini 22 Haziran’da gerçekleşen bir hedefli kimlik avı saldırısına kadar sürdü.
Bu ilk belirtilerden sonra hızla harekete geçip olay müdahale planlarını etkinleştirmiş olsalar da, bazı müşteriler için komutlar çerçevesindeki olağandışı etkinliği keşfetmeleri 5 Temmuz’a kadar sürdü.
Devam eden analiz, saldırı vektörünü ortaya çıkardı: komut çerçevemize veri enjeksiyonu. Analiz, saldırının son derece hedefli ve belirli müşterilerle sınırlı olduğuna dair şüpheleri de doğruladı” dedi.
“Çeşitli kimlik, erişim, güvenlik ve yönetim işlevleri için JumpCloud platformuna güvenen 200.000’den fazla kuruluştan 5’ten az JumpCloud müşterisi etkilendi ve toplamda 10’dan az cihaz etkilendi.”
JumpCloud ve Crowdstrike tarafından yapılan daha ayrıntılı araştırma, saldırının Kuzey Kore devlet destekli bir grup tarafından gerçekleştirildiğini doğruladı.
Mandiant’ın, JumpCloud izinsiz girişinin bir sonucu olarak güvenliği ihlal edilmiş bir aşağı akım kurban organizasyonuyla ilgili soruşturması onaylanmış Bu. Saldırganlar, kimlik bilgilerini ve keşif verilerini elde etmek için kripto para dikeylerine sahip şirketleri hedef aldıklarını söylüyorlar.
JumpCloud, müşterilerin sistemlerini güvenli hale getirmelerine yardımcı olmak için tehlike göstergeleri yayınladı.
GitHub sosyal mühendislik kampanyası
GitHub, blockchain, kripto para birimi veya çevrimiçi kumar sektörlerindeki teknoloji firmalarının çalışanlarının (geliştiricilerinin) kişisel hesaplarını hedef alan düşük hacimli bir sosyal mühendislik kampanyası hakkında uyarıda bulundu.
Saldırı, tehdit aktörünün GitHub’da ve diğer sosyal ağlarda sahte hesaplar oluşturması (veya mevcut hesapları ele geçirmesi) ve kendisini bir geliştirici veya işveren olarak tanıtmasıyla başlar.
GitHub’ın Güvenlik Operasyonlarından Sorumlu Başkan Yardımcısı Alexis Wales, “Bir hedefle bağlantı kurduktan sonra, tehdit aktörü hedefi bir GitHub deposu üzerinde işbirliği yapmaya davet ediyor ve hedefi içeriğini klonlayıp yürütmeye ikna ediyor” dedi.
“GitHub deposu, kötü niyetli npm bağımlılıkları içeren yazılımlar içeriyor. Tehdit aktörü tarafından kullanılan bazı yazılım temaları, medya oynatıcıları ve kripto para birimi ticaret araçlarını içerir.”
Birinci aşama kötü amaçlı yazılım olarak işlev gören bu npm paketleri, daha sonra ikinci aşama kötü amaçlı yazılımı kurbanın cihazına indirip çalıştırır.
Galler, “Bu kampanyanın, Microsoft Tehdit İstihbaratı tarafından Jade Sleet ve ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından TraderTraitor olarak bilinen Kuzey Kore hedeflerini desteklemek için faaliyet gösteren bir grupla ilişkili olduğunu büyük bir güvenle değerlendiriyoruz” diye ekledi.
GitHub ayrıca uzlaşma göstergelerini de paylaştı.
Rol yapma oyunu oynayan Kuzey Koreli hackerlar
Kuzey Kore devlet destekli bilgisayar korsanları, nispeten izole edilmiş ulus devleti finanse etmek için kripto para çalmayı amaçlayan siber çabalarıyla tanınıyor. Hedefleri ulusal bankalardan kripto şirketlerine kadar uzanıyor.
Geçen yıl, ABD Dışişleri Bakanlığı, Kuzey Koreli bilgisayar korsanlarının, yazılım geliştirme ve diğer BT işlerine serbest çalışanlar olarak başvurarak şirketlere sızmak için dünya çapındaki beceri eksikliğinden yararlandıkları konusunda uyarıda bulundu.
Yüklenici olarak ayrıcalıklı erişim elde ettikten sonra, diğer Kuzey Koreli tehdit aktörlerinin kötü amaçlı siber saldırılarını etkinleştirebilirler.