Siber güvenlik firması Silent Push son zamanlarda Kuzey Koreli BT işçilerinin uluslararası şirketlerle iş ararken gerçek IP adreslerini gizlemek için Astrill VPN hizmetlerini kullanmaya devam ettiklerini doğruladı.
Başlangıçta Google’ın Mantiant tarafından Eylül 2024’te bildirilen bu bulgu, Kuzey Kore tehdit aktörlerinin çevrimiçi kötü niyetli faaliyetler yaparken tespiti atlatma çabalarını göstermektedir.
Sessiz Push analistleri, özellikle Lazarus Grubu’na ve bulaşıcı röportaj (ünlü Chollima olarak da bilinir) gibi alt gruplarına odaklanarak yıllardır çeşitli Kuzey Kore hack gruplarını izliyorlar.
Hem operatörlerden hem de kurbanlardan gelen kapsamlı günlük analizi sayesinde araştırmacılar, IP gizlemesi için tercih edilen araç olarak kullanılan Astrill VPN’ye (Astrill.com) çok sayıda referansı ortaya çıkardılar.
Bu özel VPN hizmetinin tercihi, birden fazla Lazarus grup operasyonunda tutarlı görünür ve operasyonel güvenlik protokollerinde standart bir yaklaşım önermektedir.
Soruşturma, 1,4 milyar dolarlık Bybit kripto para birimi soygundan kısa bir süre önce kaydedilen bir alanın keşfinin ardından ivme kazandı.
“Bybitassessment.com” alanı, daha önce Kuzey Kore hackleme operasyonlarına bağlı bir e -posta adresi kullanılarak kaydedildi ve araştırmacılara değerli bir bağlantı noktası sağladı.
Silent Push’taki araştırmacılar tarafından yapılan bu keşif, bu tehdit aktörleri tarafından astrill VPN’nin geniş kullanımını daha da doğrulayan idari ve kurban günlükleri içeren altyapı bileşenlerini edinmek için sessiz bir itme sağlamıştır.
Silent Push, bu faaliyetlerin sürekli izlenmesinde, tüm eşlenmiş Astrill VPN IP adreslerinin gerçek zamanlı güncellemelerini içeren kapsamlı bir “toplu veri akışı” geliştirmiştir.
Bu kaynak, kuruluşların Kuzey Koreli veya başka türlü bu kaynaklardan kaynaklanan tehditleri tanımlamasına ve korumalarına yardımcı olmayı amaçlamaktadır.
Teknik Altyapı Analizi
Teknik araştırmada, Kuzey Kore saldırı altyapısının yapılandırılması sırasında oluşturulan test kayıtlarına bağlı 27 benzersiz Astrill VPN IP adresi ortaya çıktı.
Bu adresler arasında, 104.223.97.2 ve 91.239.130.102 dahil olmak üzere kötü amaçlı faaliyetlerle bağlantılı olarak birkaç tane gözlemlenmiştir.
Soruşturmada tanımlanan ek IP adresleri arasında 103.130.145.210, 104.129.22.2, 113.20.30.139, 134.195.197.175, 167.88.61.250 ve çeşitli ağ aralıklarına dağıtılan birkaç kişi bulunmaktadır.
Bu IP adresi kullanımı modeli, kuruluşlara potansiyel Kuzey Kore sızma girişimlerini izlemek için belirli göstergeler sunmaktadır.
Astrill VPN’den gelen tüm bağlantılar kötü niyetli etkinlik göstermese de, güvenlik uzmanlarına, özellikle BT yüklenicileri veya serbest çalışanlarla uğraşırken, bu IP aralıklarından trafikle karşılaşırken ek doğrulama adımları uygulamaları tavsiye edilir.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.