CL-STA-0237 kümesi altında faaliyet gösteren Kuzey Koreli BT çalışanları, kötü amaçlı yazılım bulaşmış video konferans uygulamalarını kullanan son kimlik avı saldırılarına karıştı.
Merkezi muhtemelen Laos’ta bulunan grup, hassas bilgilere erişim sağlamak ve büyük bir teknoloji şirketinde bir pozisyon elde etmek için ABD merkezli bir KOBİ BT hizmetleri şirketine sızarak sofistike bir yaklaşım sergiledi.
Daha agresif kötü amaçlı yazılım kampanyalarına doğru kayma ve bu BT çalışanlarının küresel erişimi, gelişen tehdit ortamını vurguladığından, kitle imha silahları ve balistik füze programlarına destek de dahil olmak üzere daha geniş Kuzey Kore siber operasyonlarıyla uyumludur.
MiroTalk kimlik avı kampanyasıyla bağlantılı Kuzey Koreli tehdit aktörü CL-STA-0237, ABD merkezli bir KOBİ BT hizmetleri şirketinin güvenliğini ihlal etti.
Aktör, hassas şirket bilgilerini çaldı ve birden fazla BT altyapısı ve yönetim hesabının kontrolünü ele geçirdi; bu, CL-STA-0237’nin, BT işlerine başvurmak için şirketi taklit etmesine veya potansiyel olarak iş arayanları kötü amaçlı yazılımla hedeflemesine olanak tanıdı.
Siber Güvenlik Yatırım Getirisini En Üst Düzeye Çıkarma: KOBİ ve MSP Liderleri için Uzman İpuçları – Ücretsiz Web Seminerine Katılın
Aktörün bir çalışan mı olduğu yoksa şirkette bir ortaklığı mı olduğu belirsizliğini koruyor; bu da BT hizmetlerinin dış kaynaklardan sağlanmasının potansiyel risklerini vurguluyor.
Bilgisayar korsanları, siber saldırılar gerçekleştirmek için birden fazla sahte kimlik kullanırken, belirli bir aktör olan CL-STA-0237, muhtemelen potansiyel işverenlerle yapılan video konferanslar sırasında çekilmiş çalıntı fotoğraflarla sahte özgeçmişler oluşturdu.
Coğrafi konum verileri ve zaman damgalarının analizi, bu aktörün 2020 sonlarından 2021 ortalarına kadar Laos’ta fiziksel olarak mevcut olabileceğini gösteriyor; bu, Çin ve Rusya ile bağlantılı önceki kampanyalardan farklı olarak operasyonel taktiklerde bir değişikliğe işaret ediyor.
CL-STA-0237, meşru bir çalışan hesabı oluşturarak 2022 yılında büyük bir teknoloji şirketine başarılı bir şekilde sızdı. Bu hesap, şirketin tek oturum açma sistemine erişim sağlayarak tehdit aktörüne hassas şirket verilerine ve sistemlerine geniş erişim olanağı sağladı.
Ele geçirilen hesap büyük ihtimalle hedeflenen kuruluşa karşı hem kalıcı hem de potansiyel olarak etkili olan siber operasyonları kolaylaştırmak için kullanıldı.
Palo Alto Networks tarafından yapılan son araştırmalar, Bulaşıcı Röportaj kampanyasının kötü şöhretli Kuzey Koreli tehdit aktörü Lazarus ile bağlantılı olabileceğini öne sürüyor.
İlgili BT çalışanlarının tam rolü belirsizliğini korurken, diğer bilgisayar korsanlığı gruplarına potansiyel yardımları açık. Bu arada Wagemole kampanyasında yeni gelişmeler görüldü.
Kümelerinden birine bağlı Ethereum cüzdanları, yaptırım uygulanan Kuzey Koreli Sang Man Kim’e ait bir cüzdana önemli miktarda fon aktardı.
Kim’in denizaşırı Kuzey Koreli BT çalışanlarının mali yönetimine dahil olması, kampanya ile Kuzey Kore’nin yasa dışı faaliyetleri arasındaki bağlantıyı güçlendiriyor.
Kuzey Koreli tehdit aktörleri, hem sahte BT çalışanı kimlikleri yoluyla incelikli sızmayı hem de içeriden tehditler ve kötü amaçlı yazılım saldırıları gibi daha agresif taktikleri içeren yasa dışı faaliyetleri finanse etmek için işle ilgili kampanyalardan giderek daha fazla yararlanıyor.
Büyüyen bu tehdide karşı koymak için kuruluşların, içeriden gelen tehditlere karşı dikkatli izleme, dış kaynaklı hizmetlerin sıkı bir şekilde incelenmesi ve yetkisiz kişisel etkinlikleri önlemek için kurumsal cihaz kullanım politikalarının sıkı bir şekilde uygulanması dahil olmak üzere güvenlik önlemlerini güçlendirmesi gerekiyor.
SOC/DFIR Ekiplerinden misiniz? – ANY.RUN ile Kötü Amaçlı Yazılım Dosyalarını ve Bağlantılarını Analiz Edin -> Ücretsiz Deneyin