Kuzey Koreli Hackerlar Ağları Geçirmek İçin VPN Güncelleme Açığını Kullandı

   Ağustos 6, 2024  Posted in GBHackers


Kimsuky (APT43) ve Andariel (APT45) gibi Kuzey Kore devlet destekli bilgisayar korsanlığı grupları, Güney Kore inşaat ve makine sektörlerine yönelik siber saldırılarını önemli ölçüde artırdı.

Bu artış, Kuzey Kore genelindeki endüstriyel tesislerin modernizasyonunu hedefleyen Kim Jong-un’un “Yerel Kalkınma 20×10 Politikası” ile örtüşüyor.

Bunun üzerine Güney Kore Ulusal Siber Güvenlik Merkezi (NCSC) ve istihbarat teşkilatları, Kuzey Koreli bilgisayar korsanlarının ağlara sızmak için VPN güncelleme açıklarından yararlandığını öne süren kapsamlı bir ortak siber güvenlik duyurusu yayınladı.

Sadece bu değil, ayrıca birkaç önemli şeyi daha detaylandırdılar. Tavsiye, kuruluşların olası hasarı önlemesine ve azaltmasına yardımcı olmayı amaçlıyor, çünkü çalınan veriler Kuzey Kore’nin endüstriyel ve kentsel gelişim planlarını ilerletmek için kullanılabilir.

Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access

Bilgisayar Korsanları VPN Güncelleme Açığını Kullandı

İki vaka vurgulandı ve bunlar:

  • DAVA 1: ‘İnşaat sektörü profesyonel kuruluşlarını’ hedef alan kötü amaçlı kodun kitlesel dağıtımı
Kim Suki hacker örgütünün kötü amaçlı yazılım dağıtım süreci (Kaynak – NCSC)
  • DURUM 2: ‘Bilgi güvenliği ürün zafiyetleri’ kullanılarak yerli makine sektörüne yönelik saldırılar
Andariel’in ‘VPN SW’ güvenlik açığının istismarı ve kötü amaçlı yazılım dağıtımı (Kaynak – NCSC)

Ocak 2024’te Kuzey Kore’ye bağlı Kimsuky grubu, Güney Koreli bir inşaat sektörü web sitesine karmaşık bir tedarik zinciri saldırısı gerçekleştirdi.

Bilgisayar korsanları güvenlik doğrulama yazılımına saldırarak NX_PRNMAN sistemini ele geçirdiler.

Go dilinde kodlanan “TrollAgent” adı verilen bu zararlı yazılım, güvenlik doğrulama yazılımının ele geçirilmiş sitesine erişen devlet çalışanları, kamu kurumları ve inşaat sektöründe çalışan profesyonellerin bilgisayarlarını etkiledi.

TrollAgent, tespit edilmeden çalışmak için sistemler hakkında bilgi topluyor, ekran görüntüleri alıyor ve tarayıcıların bellek konumlarından şifreler, GPKI sertifikaları, SSH anahtarları ve hatta FileZilla’nın istemci hizmetleri de dahil olmak üzere her türlü hassas veriyi indiriyordu.

Siber saldırganlar, bazı güvenlik kontrollerinden kaçmayı sağlayan “D2Innovation” adlı gerçek dijital sertifikayı kullandılar.

Kuzey Kore’nin Güney Kore’nin altyapı sektörlerine yönelik siber operasyonlarının karmaşıklığı ve ayrıntılı yapısı arttıkça bu tür olaylar önem kazanıyor.

Nisan 2024’te Kuzey Koreli bir bilgisayar korsanı grubu olan Andariel, yerel VPN’lerdeki ve sunucu güvenlik yazılımlarındaki açıklardan yararlanarak Güney Koreli inşaat ve makine firmalarına karşı karmaşık bir saldırı gerçekleştirdi.

Yeterli kimlik doğrulama prosedürlerinden yoksun güncelleme faaliyetlerine odaklanan istemci-sunucu iletişim protokollerindeki açıklardan yararlanıldı.

Bunun dışında Andariel’in yöntemi şunları içeriyordu:

  • Bu istekler, VPN istemcisi tarafından gerçekleştirilen doğrulama sürecini atlatarak kullanıcı bilgisayarlarına HTTP paketleri şeklinde gizlenmiş şekilde gönderiliyordu.
  • Güncelleme isteğini, meşru bir VPN sunucusu gibi görünen kötü amaçlı bir C2 sunucusuna taşıdılar.
  • DoraRAT zararlı yazılımının dağıtımı, yazılım için bir yükseltme gibi sunuldu.

Bu saldırılar Andariel’in virüslü makineler üzerinde uzaktan kontrol sağlamasını mümkün kıldı ve Kuzey Kore’nin siber saldırılarının ardındaki değişen stratejileri ve Güney Kore’nin endüstriyel altyapısının nasıl uygun şekilde güçlendirilmesi gerektiğini gösterdi.

Azaltma önlemleri

Aşağıda tüm hafifletme önlemlerinden bahsettik:

  • Tüm organizasyon üyelerine sürekli güvenlik eğitimi sağlayın.
  • Genel üyeler ve BT personeli için özel eğitimler düzenleyin.
  • Gerçek zamanlı algılama ile işletim sisteminizi, uygulamalarınızı ve antivirüs yazılımlarınızı güncel tutun.
  • Yazılım dağıtımı için sıkı onay politikaları uygulayın.
  • Son dağıtım aşamasında yönetici kimlik doğrulamasını zorunlu kılın.
  • Devletin siber güvenlik tavsiyelerini takip edin ve acil eylemler için üreticilerle iletişime geçin.
  • Tedarik zinciri güvenliği için ‘S/W Tedarik Zinciri Güvenlik Kılavuzu’na bakın.
  • Güvenli yazılım geliştirme için KISA’nın ‘Yazılım Geliştirme Güvenlik Rehberi’ni kullanın.
  • Gerektiğinde güvenlik denetimleri için KISA’ya başvurun.

How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide



Source link