Sahte bir kimlik altında faaliyet gösteren Kuzey Koreli bir BT işçisi, sofistike bir uzaktan kontrol sistemi ile bir Batı organizasyonuna sızan ortaya çıktı.
Şüpheli bir dizüstü bilgisayar çiftliğinde ABD federal baskını sırasında ortaya çıkan bu olay, rakiplerin geleneksel uç nokta tespiti ve yanıt (EDR) sistemlerinden kaçınmak için meşru yazılımlardan ve düşük seviyeli ağ protokollerinden yararlandığı ürpertici bir eğilim sergiliyor.
Dövme kimlik bilgilerine sahip bir dış kaynak platformu aracılığıyla işe alınan saldırgan, gizli araçları görünüşte iyi huylu bir geliştirme ortamına yerleştirmek için kurumsal olarak yayınlanmış bir dizüstü bilgisayar kullandı ve kötü niyetli faaliyetleri güvenilir iş akışlarını harmanladı.
.png
)
Güvenilir araçlarla gizli uzaktan kumanda
Sygnia’nın adli araştırması, kalıcı erişim ve gerçek zamanlı kontrol için tasarlanmış modüler bir mimari ortaya çıkardı.
Saldırgan, özünde çift yönlü komut ve kontrol (C2) iletişimi için WebSocks kullandı ve minimum ağ görünürlüğü ile düşük profilli işaretleme ve anında komuta yürütme sağladı.
Bu, Ethernet-katman yayınları aracılığıyla Skapy gibi araçları kullanılarak, yerel ağ segmentleri arasında merkezi olmayan komut yayılımı için ARP (Adres Çözünürlük Protokolü) paketlerinin yenilikçi bir kötüye kullanımı ile eşleştirildi.
Ayrıca, saldırgan Zoom uygulamasını, güvenlik açıklarından yararlanarak değil, kullanıcı tarafı etkileşimlerini oturumları başlatma ve uzaktan kumanda onaylamak için komut dosyasını yazarak otomatikleştirdi ve bir işbirliği aracını bir uzaktan yönetim aracına (sıçan) etkili bir şekilde dönüştürdü.
Python komut dosyaları ve açık kaynaklı kütüphaneler, bu subterfuge’u kolaylaştırdı, yasal kullanıcı davranışını taklit etmek için HID (insan arayüz cihazı) emülasyonu yoluyla klavye ve fare girişlerini simüle ederken, kabuk komut dosyaları sistem başlatma veya girişte otomatik olarak uygulama yoluyla kalıcılık sağladı.
WebSockets kullanarak gelişmiş taktikler
Sygnia’ya göre, bu karmaşık kurulum, Kuzey Kore operatörünün geleneksel güvenlik mekanizmalarını tetiklemeden gizli erişimi sürdürmesine izin verdi.
Her ne kadar veri açığa çıkmasına rağmen, altyapının tasarımı casusluk potansiyelini ima ederek SaaS platformlarına ve rutin geliştirici araçlarına olan güvenden yararlandı.
Saldırı metodik olarak ortaya çıktı: bir kullanıcı varlığı işaretleme komut dosyası, C2 sunucusuna etkinlik sinyal verdi ve komutların yalnızca aktif dönemlerde şüphe önlemek için verilmesini sağladı.
Ağ dinleyici modülleri gerçek zamanlı koordinasyon için ARP trafiğini yakalarken, otomasyon komut dosyaları zoom etkileşimlerini yöneterek, katılımcı bildirimleri veya ses ipuçları gibi kullanıcıya dönük göstergeleri en aza indirmek için ayarları ayarladı.
Bu dava, modern BT ortamlarında kritik bir kırılganlığın altını çizmektedir Hakimlerin her zaman savunmaları ihlal etmesi gerekmez; İçeride yer alan güvenden yararlanarak içeriden gelenler olarak poz verebilirler.
Etkileri örgütsel güvenlik için derindir. Geleneksel kötü amaçlı yazılım imzaları ve kabuk komutu izleme, iyi huylu yazılımı silahlandıran tehditlere ve ARP sinyali gibi ağ davranışlarını belirleyen tehditlere karşı kısalır.
Savunucular, anormal WebSocket trafiğine ve ARP etkinliğine ekstrahop veya zeek gibi araçlar aracılığıyla odaklanarak gelişmiş ağ telemetrisine ve davranışsal analizine doğru dönmelidir.
EDR platformları aracılığıyla mikro segmentasyon, sıfır güven ağ erişimi (ZTNA) ve komut dosyası yürütme kontrolleri, yan hareketi ve yetkisiz eylemleri sınırlamak için gereklidir.
En önemlisi, bu olay, en büyük tehditlerin, meşru çalışanlar olarak gizlenmiş, teknik savunmaların yanı sıra veterinerlik süreçlerinin ve içeriden gelen risk yönetiminin yeniden değerlendirilmesini talep eden zaten içeride olabileceğini vurgulamaktadır.
Saldırganlar, güvenilir ekosistemlere karışarak düz görüşte saklanmaya devam ettikçe, kuruluşlar bu kaçak, güven-yayma taktiklerine karşı koymak için algılama lenslerini genişletmelidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!