Kuzey Koreli tehdit aktörleri, aşağıdakiler de dahil olmak üzere yıl boyunca verimli kampanya içgörülerini ortaya çıkararak güvenlik uzmanlarının aktif olarak dikkatini çekti:-
- Yeni keşif araçları
- Çoklu yeni tedarik zinciri saldırıları
- Zor çoklu platform hedefleme
- Yeni sinsi toplum mühendisliği taktikleri
Geçen yıl, elit kategorisine giren bir grup Kuzey Koreli bilgisayar korsanı, beş ay boyunca büyük Rus füze geliştiricilerinden birinin dahili ağlarına gizlice sızdı.
SentinelOne Labs’daki siber güvenlik araştırmacıları, Kuzey Koreli bilgisayar korsanlarının önde gelen Rus Füze ve Askeri mühendislik şirketlerinden birinin dahili ağlarını hacklediğini tespit etti.
Kuzey Koreli Hackerlar Rus Füze Şirketini Ele Geçirdi
SentinelOne Labs analistleri, Kuzey Koreli tehdit aktörü soruşturması sırasında sızan bir e-posta koleksiyonunda Kuzey Kore bağlantılı bir implant keşfetti ve tanınmayan daha büyük bir izinsiz girişi ortaya çıkardı.
Hedeflenen kuruluş, JSC Tactical Missiles Corporation (KTRV) tarafından onaylanan ve sahip olunan gizli füze teknolojisine sahip bir Rus füze ve uzay aracı üreticisi olan NPO Mashinostroyeniya’dır.
Sızan veriler, tesadüfi veya ilgisiz faaliyetlere işaret eden ilgisiz e-postalar içerir. Yine de, aşağıdaki şeyler hakkında değerli bilgiler sunar: –
- Ağ tasarımı
- Güvenlik açıkları
- Diğer saldırganlar
E-posta Yoluyla Uzlaşma
NPO Mashinostroyeniya e-postaları, BT personelinin şüpheli iletişimler ve DLL dosyaları hakkındaki tartışmalarını açığa çıkarıyor. İzinsiz girişten sonra, algılama sorunlarını çözmek için AV desteği aradılar.
Uzmanlar, OpenCarrot Windows işletim sistemi arka kapısının Lazarus grubuyla bağlantılı bir sürümünü keşfettiler; bu, tam makine güvenliğinin aşılmasına ve proxy C2 iletişimi ile ağ çapında saldırılara olanak sağlıyor.
Burada analiz edilen OpenCarrot, kalıcılık için tasarlanmış ve aşağıdakiler gibi çeşitli işlevlere sahip 25’ten fazla Lazarus grubu arka kapı komutunu uygulayan bir DLL dosyası olarak kullanıldı: –
- Keşif
- Dosya sistemi manipülasyonu
- Süreç manipülasyonu
- Yeniden yapılandırma
- bağlantı
Kuzey Koreli tehdit aktörleri, araştırmacıların bildirilmeyen faaliyetler hakkında benzersiz içgörüler toplamasına ve altyapı bağlantıları aracılığıyla kampanya gelişimini izlemesine olanak tanıyan OPSEC’den yoksundur.
Uzmanlar, NPO Mash ile alan teması benzerliklerini fark ederek JumpCloud saldırısını Kuzey Koreli tehdit aktörlerine bağladı.
Kesin olmamakla birlikte, diğer bağlantılarla birlikte tehdit aktörü altyapı oluşturma ve yönetim prosedürleri hakkında merak uyandırır.
Güvenlik analistleri, Kuzey Kore’nin bir Rus Savunma-Sanayi Üssü (DIB) örgütünün doğrudan tavizi yoluyla gizli füze geliştirme gündemini sergileyerek, müdahaleyi kendinden emin bir şekilde Kuzey Kore bağlantılı tehdit aktörlerine atfediyor.
IoC’ler
MD5:
9216198a2ebc14dd68386738c1c59792
6ad6232bcf4cef9bf40cbcae8ed2f985
d0f6cf0d54cf77e957bce6dfbbd34d8e
921aa3783644750890b9d30843253ec6
99fd2e013b3fba1d03a574a24a735a82
0b7dad90ecc731523e2eb7d682063a49
516beb7da7f2a8b85cb170570545da4b
SHA1:
07b494575d548a83f0812ceba6b8d567c7ec86ed
2217c29e5d5ccfcf58d2b6d9f5e250b687948440
246018220a4f4f3d20262b7333caf323e1c77d2e
8b6ffa56ca5bea5b406d6d8d6ef532b4d36d090f
90f52b6d077d508a23214047e680dded320ccf4e
f483c33acf0f2957da14ed422377387d6cb93c4d
f974d22f74b0a105668c72dc100d1d9fcc8c72de
redhat-packages[.]com
centos-packages[.]com
dallynk[.]com
yolenny[.]com
606qipai[.]com
asplinc[.]com
bsef.or[.]kr
192.169.7[.]197
160.202.79[.]226
96.9.255[.]150
5.134.119[.]142
Bizi GoogleNews, Linkedin üzerinden takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, twitterve Facebook.