Kuzey Koreli BT çalışanları, yanlış kimlikler altında uzak pozisyonları güvence altına alarak uluslararası şirketlere sızmaktadır.
Bu taktik sadece uluslararası yaptırımları ihlal etmekle kalmaz, aynı zamanda veri hırsızlığı ve geri çekilen sistemlere geri dönenlerin kurulumu da dahil olmak üzere önemli siber güvenlik riskleri de ortaya koymaktadır.
Insikt Group, bu faaliyetleri tanıttı ve tespitten kaçınmak için sofistike kötü amaçlı yazılımların ve ön şirketlerin kullanımını vurguladı.
Kuzey Kore rejimi, siber suçlar da dahil olmak üzere yasadışı faaliyetleri artırarak sıkılmış yaptırımlara uyum sağlamıştır.
Uzaktan çalışmanın yükselişi, Kuzey Koreli BT işçilerinin genellikle hileli profiller ve ön şirketler kullanan küresel şirketlerde istihdam kazanmaları için yeni fırsatlar sağladı.
Insikt Group’taki uzmanlar, bu operatörlerin kripto para birimi ve yazılım geliştirme gibi fikri mülkiyete dayanan endüstrileri hedefleyen kötü amaçlı kampanyalarla bağlantılı olduğunu keşfettiler.
Tehdit analizi
Insikt Group, bu operatörler tarafından kullanılan birkaç kötü amaçlı yazılım ailesini tanımladı:-
- Beavertail: Kripto para birimi cüzdanı detayları gibi hassas bilgileri toplayan bir JavaScript Infostealer. NPM paketleri aracılığıyla dağıtılır ve Windows ve MacOS ortamlarını hedefler.
- InvisibleFerret: Ek kötü amaçlı yükler getiren, bilgi çalan ve komut ve kontrol (C2) iletişimi için meşru protokollerden yararlanan platformlar arası bir python arka kapısı.
- Su samuru kurabiye: Socket.io aracılığıyla C2 bağlantısını kuran, kabuk komutlarını yürüten ve hassas verileri dışarı atan bir arka kapı.
.webp)
Bu kötü amaçlı yazılım araçları genellikle meşru iş görüşmeleri veya kodlama zorlukları yoluyla sunulur.
Örneğin, bir geliştiriciden daha sonra Beaveril Infostealer olarak tanımlanan kötü amaçlı bir işlev içeren bir kodlama meydan okuma dosyası indirmesinin istendiğini bildirdi.
Kuzey Kore, meşru BT firmalarını taklit eden bir ön şirket ağı işletiyor. Bu varlıklar Telegram, GitHub ve Upwork gibi platformlarda sahte iş ilanları oluşturur.
Böyle bir şirket olan “AgencyHill99”, Levels.fyi’de bir blockchain geliştirici konumu da dahil olmak üzere birden fazla platformda iş reklamları yayınladığı bulundu.
Şirketin web sitesi Hostinger’e kayıtlı ancak artık aktif değil.
Bu tehditlere karşı koymak için kuruluşlar, video röportajları ve noter tasdikli kimlik belgeleri de dahil olmak üzere uzaktan kiralar için sağlam kimlik doğrulama süreçlerini uygulamalıdır.
İçeriden tehdit izleme, cihazların coğrafi konumu ve veri maruziyetini kısıtlama gibi teknik kontroller de çok önemlidir. İK ve BT güvenlik ekipleri için farkındalık ve eğitim, bu aktörlerin kritik iş operasyonlarına sızmasını önlemek için esastır.
Kuzey Koreli BT işçilerinin uluslararası şirketlere sızması, yaptırım ihlalleri ve ciddi siber güvenlik riskleri için ikili bir tehdit oluşturmaktadır.
Uzaktan çalışma büyümeye devam ettikçe, kuruluşların ve hükümetlerin bu gelişen tehditle mücadele etmek için gelişmiş güvenlik önlemleri ve istihbarat paylaşımı üzerinde işbirliği yapmaları çok önemlidir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free