Kuzey Kore devlet destekli bilgisayar korsanlarının (Jumpy Pisces, diğer adıyla Andariel, diğer adıyla Onyx Sleet) kurumsal sistemlere sızdıkları ve görünüşe göre işleri Play fidye yazılımı grubuna devrettikleri görüldü.
Saldırının zaman çizelgesi (Kaynak: Palo Alto Networks)
Saldırı
Fidye yazılımı saldırısı, Eylül 2024’te Palo Alto Networks’ün Birim 42’si tarafından araştırıldı ve Kuzey Koreli bilgisayar korsanlarının:
- Güvenliği ihlal edilmiş bir kullanıcı hesabını kullanarak bir ana bilgisayara erişim elde etti
- SMB protokolü aracılığıyla diğer ana bilgisayarlara yanal olarak taşındı
- Sliver (bir Cobalt Strike alternatifi) aracılığıyla kalıcılık sağlandı ve DTrack (sonuçta EDR tarafından engellenen özel kötü amaçlı yazılım) yüklenmeye çalışıldı.
- Toplanan sistem ve ağ yapılandırmaları, kurban makinelerinde yeni oluşturulan ayrıcalıklı kullanıcı hesabı aracılığıyla RDP oturumları oluşturuldu, kimlik bilgisi günlüklerini boşaltmak ve tarayıcı bilgilerini (geçmiş, otomatik doldurma ve kredi kartı ayrıntıları) çalmak için Mimikatz ve truva atı haline getirilmiş bir ikili dosya kullanıldı
“Eylül ayının başlarında, kimliği belirsiz bir tehdit aktörü, Jumpy Pisces’in kullandığı güvenliği ihlal edilmiş kullanıcı hesabı aracılığıyla ağa girdi. Kimlik bilgileri toplama, ayrıcalık yükseltme ve EDR sensörlerinin kaldırılması gibi fidye yazılımı öncesi faaliyetler gerçekleştirdiler ve bu da sonunda Play fidye yazılımının yayılmasına yol açtı,” diye açıkladı Unit 42 araştırmacıları.
Güvenliği ihlal edilmiş aynı hesap hesabının kullanılması, fidye yazılımının yayılmasından bir gün önce Sliver C2 iletişiminin durdurulması ve belirli taktiklerin, tekniklerin ve prosedürlerin (TTP’ler) kullanılması, “Jumpy Pisces ile Play Ransomware arasında bir dereceye kadar işbirliğine” işaret ediyor.
Ancak Jumpy Pisces’in resmi olarak Play fidye yazılımının bir ortağı mı olduğu yoksa yalnızca ilk erişim komisyoncusu (IAB) olarak mı hareket ettiği belirsiz.
“Saldırılarının dünya genelinde giderek daha geniş bir yelpazedeki kurbanları hedef almasını bekliyoruz. Ağ savunucuları, Jumpy Pisces etkinliğini yalnızca casusluğun değil, fidye yazılımı saldırılarının da potansiyel bir öncüsü olarak görmeli, bu da daha fazla dikkatli olunması gerektiğinin altını çizmelidir,” diye sonuçlandırıyor tehdit analistleri.
Bir trend mi oluşuyor?
Bu, güvenlik araştırmacılarının devlet destekli bilgisayar korsanlarının fidye yazılımı gruplarına yardım ettiğini keşfetmeleri ilk kez değil.
Bu yılın başlarında ABD güvenlik kurumları, İran devletiyle sözleşmeli bir siber casusluk grubu olan Pioneer Kitten’in NoEscape, RansomHouse ve ALPHV fidye yazılımı bağlı kuruluşları için ilk erişim sağlayıcısı olarak görev yaptığı ve onlara “verilen paranın belirli bir yüzdesi karşılığında şifreleme işlemlerini etkinleştirmelerine yardımcı olduğu” konusunda uyarıda bulundu. fidye ödemeleri.”
Microsoft ayrıca kısa süre önce yayınladığı Dijital Savunma Raporu’nda ulus devlet ile siber suç tehdidi faaliyetleri arasındaki çizginin giderek bulanıklaştığını ve Kuzey Kore, Rusya ve İran devlet destekli tehdit aktörlerinin giderek kendileri (ve kendi çıkarları) için fidye yazılımları dağıttıklarını belirtti. devletlerin) mali kazancı.