Günümüzün karmaşık tehdit manzarasında, rakipler geleneksel savunmaları aşan “kötü amaçlı yazılımsız” saldırı yöntemlerini giderek daha da destekliyor.
Özellikle sinsi bir plan, şirket ağlarına sızmak için meşru uzak BT profesyonelleri olarak poz veren Kuzey Koreli operatörleri içermektedir.
Trellix araştırmacıları kısa süre önce, sahte bir başvuru sahibinin büyük bir ABD sağlık hizmeti sağlayıcısında işe alım aşamalarıyla sorunsuz bir şekilde ilerledikleri, sadece proaktif tehdit avı ve açık kaynaklı istihbarat korelasyonu ile maruz kaldığı bir kampanyayı ortaya çıkardılar.
Bu gösterge listesini yayınlayarak, dünya çapında araştırmacılar tehdit avı araçları için değerli bir yem kazandı.
Telemetri ve Trellix’in ikinci tehdit avı hizmetinden yararlanan güvenlik ekipleri, bu adresleri gelen iletişimlere karşı eşleştirmeye başladı-yakında temettü ödeyen bir çaba.
2025’in ortalarında, Analist @Sttyk tarafından bağımsız OSINT çalışması, Batı organizasyonlarında istihdam arayan Kuzey Koreli BT operatörlerine bağlı yaklaşık 1.400 e-posta adresi ortaya koydu.
Sağlık hizmeti sağlayıcısının Riskten habersiz yetenek kazanma ekibi, başvuru sahibi “Kyle Lankford” u ana yazılım mühendisi rolü için bir kodlama değerlendirmesini tamamlamaya davet etti.
Başvuru iş akışı beklenen adımları izledi: İşveren, 10 Temmuz’da kurumsal bir adresten talimatları e -postayla gönderdi, aday değerlendirmeyi 16 Temmuz’da tamamladı ve 4 Ağustos’ta kibarca takip etti.
Her etkileşim, meşru URL’ler, uygun şekilde hizalanmış DMARC başlıkları ve kötü amaçlı kod içeren ekler ile mükemmel bir rutin görünüyordu.
Kampanyayı Disele Etme
Ayrıntılı bir zaman çizelgesi şemanın nasıl ortaya çıktığını vurgular:
| Tarih | Etkinlik | Detaylar |
|---|---|---|
| 10 Temmuz 2025 | Değerlendirme Davetiyesi | İşveren, kurumsal e -posta yoluyla codesignal test bağlantısını gönderdi. |
| 16 Temmuz 2025 | Değerlendirme tamamlandı | Aday kodlama üzerinde kodlama testi. |
| 4 Ağustos 2025 | Takip e-postası | Aday iyi huylu bir mesajda başvuru durumunu sordu. |
| Ağustos 2025 | Tehdit avı tetiklendi | SecondSight, Gmail adreslerini DPRK göstergeleriyle eşleştirdi. |
| Ağustos 2025 | Soruşturma ve Maruz kalma | Arka plan kontrolleri muhtemel Kuzey Kore operasyonunu doğruladı; Müşteri kiralamak için uyarıldı. |
Takip e-postasının daha fazla analizi, mükemmel bir şekilde hizalanmış meta verileri ortaya çıkardı: Gmail ile barındırılan bir IP adresi (209.85.128.196), şirketin güvenli URL savunması tarafından sarılmış kodesignal yardım makalelerine meşru bağlantılar ve zararsız bir imza logo dosyası.
Kötü niyetli yük veya kimlik avı URL’si yoktu, bu tekniğin neden proaktif zeka olmadan tespit edilmesinin bu kadar zor olduğunu vurguladı.
Hafifletme
Düşmanlar günlük iş akışlarında sorunsuz bir şekilde karıştığında kuruluşlar yalnızca reaktif kontrollere güvenemezler.
DPRK IT-işçi şeması birçok kritik risk oluşturmaktadır: Milyonları Pyongyang’a, fikri mülkiyet hırsızlığına, silahlar ve siber programlar için yasadışı finansman ve potansiyel tedarik zinciri sabotajına kötü niyetli kod katkılarıyla huni.
Haziran 2025’teki son ABD Adalet Bakanlığı eylemleri, 100’den fazla hileli ağı bozdu ve bu istihdam temelli sahtekarlık kampanyalarının geniş ölçeğini gösterdi.
Etkili savunma, yüksek doğruluk tehdidi zekasının aktif avcılık yetenekleriyle harmanlanmasını gerektirir. Güvenlik ekipleri, DPRK bağlantılı e-posta adresleri listesi gibi OSINT yayınlarını doğrudan e-posta güvenliği ve SIEM platformlarına entegre etmelidir.
Otomatik korelasyon kuralları, göstergeler hizalandığında iyi huylu görünümlü uygulama e-postalarını bile işaretleyebilir. Uzaktan işe alımların düzenli arka plan validasyonu, yeni çalışan hesaplarının telemetri izlenmesi ile birleştiğinde, anomalileri tam gelişen içeriden gelen tehditlere dönüşmeden önce tespit edebilir.
Bu durumda gösterildiği gibi, en tehlikeli tehditler meşru işbirlikçileri olarak giyinebilir. Proaktif, istihbarat odaklı bir yaklaşım, gizli rakiplerin bir dayanak kazanmadan önce maskesi için gereklidir.
Trellix’in özel tehdit avcılığı ve sağlam zeka boru hatlarına yatırımı, pasif tespitten beklenen savunmaya kadar gerekli kaymayı örneklendiriyor.
Kötü amaçlı yazılım bulunmamasının artık güvenliği garanti etmediği bir dönemde, kuruluşlar uyanık kalmalı, tespit stratejilerini sürekli olarak geliştirmeli ve güven kendini kullanmaya çalışan tehditleri avlamalıdır.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.