Güvenlik araştırmacıları, Kuzey Kore tehdit aktörlerinin, özellikle Lazarus Group’un, siber saldırılar sırasında gerçek IP adreslerini gizlemek için Astrill VPN’yi aktif olarak kullandığına dair yeni kanıtlar ortaya çıkardılar.
Bir siber güvenlik firması olan Silent Push, yakın zamanda Astrill VPN’nin operasyonlarında devam eden kullanımını doğrulayan Lazarus alt grubundan “bulaşıcı röportaj” veya “ünlü Chollima” olarak bilinen altyapı ve kütükleri satın aldı.
Soruşturma, tehdit aktörlerinin “bybit değerlendirme alanını kaydettiğini ortaya koydu[.]com ”1,4 milyar dolarlık Bybit kripto para birimi soygunundan saatler önce, daha önce Lazarus Group etkinliklerine bağlı bir e -posta adresi kullanarak.
Edinilen günlükler içinde, araştırmacılar, altyapı kurulumu sırasında Lazarus üyeleri tarafından oluşturulan test kayıtlarıyla ilişkili 27 benzersiz Astrill VPN IP adresi tanımladı ve grubun bu VPN hizmeti tercihini daha da sağlamlaştırdı.
Ortaya çıkan gelişmiş gizleme teknikleri
Güvenlik Araçı Grev Ekibi, Lazarus Grubu tarafından kullanılan operasyonel altyapıyı haritaladı ve komut ve kontrol (C2) sunucularını yönetirken trafiği gizlemek için tasarlanmış astrill VPN çıkış noktaları ve vekilleri ağı ortaya koydu.
Ekip, VPN’ler aracılığıyla Pyongyang, Kuzey Kore’deki altı ayrı IP adresine geri dönüşü başarıyla takip etti.
Saldırganlar, Astrill VPN uç noktaları aracılığıyla Kuzey Kore IP adreslerinden trafiği yönlendirerek, daha sonra Rusya’daki bir şirkete kayıtlı bir ara vekil katman aracılığıyla, nihayet Stark Industries’e atfedilen sunuculara ulaşmadan önce Rusya’da bir şirkete ulaşmadan önce çok katmanlı bir şaşkınlık stratejisi kullandılar.
Silent Push raporuna göre, bu katmanlı yaklaşım grubun operasyonel güvenlik ve ağ yönetimi hakkındaki gelişmiş anlayışını göstermektedir.
Küresel kuruluşlara devam eden tehdit
Astrill VPN’nin meşru iş adayları olarak poz veren Kuzey Koreli BT işçileri tarafından kullanılması, dünya çapında kuruluşlar için önemli bir tehdit oluşturmaya devam etmektedir.
Google’ın Mantiant, Eylül 2024’te bu sahte BT çalışanları tarafından kullanılan uzaktan yönetim çözümlerine olan bağlantıların öncelikle Çin veya Kuzey Kore’den gelen Astrill VPN IP adreslerinden kaynaklandığını bildirdi.
Tehdit devam ettikçe, siber güvenlik firmaları kuruluşların bu özel tehdide karşı güvenlik duruşlarını artırmalarına yardımcı olmak için Astrill VPN IP adreslerinin güncellenmiş listelerini yayınlıyor.
Örneğin Spur.us, Aralık 2024 itibariyle Astrill VPN ile ilişkili yaklaşık 2.400 IP adresinin kapsamlı bir listesini sunmuştur.
Kuruluşlara biyometrik doğrulama, kamera içi görüşmeler gerektiren katı arka plan kontrolleri uygulamaları ve uzaktan işçileri işe alırken AI tarafından üretilen fotoğrafların kullanımını izlemeleri önerilir0978.
Buna ek olarak, güvenlik ekipleri, özellikle yüksek riskli bölgelerle ilişkili olanlar, bilinen VPN hizmetlerinden kaynaklanan uzaktan erişim araçları ve bağlantılar belirtileri için uyanık kalmalıdır.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.