Google’ın Tehdit Analiz Grubu (TAG), Kuzey Koreli tehdit aktörlerinin güvenlik araştırmacılarını hedef alan devam eden kampanyasına ilişkin bir güncelleme yayınladı.
İlk olarak Ocak 2021’de ortaya çıkan bu kampanya, güvenlik açığı araştırması ve geliştirmesi yapan araştırmacıların güvenliğini tehlikeye atmak için 0 günlük istismarların kullanılmasını içeriyordu.
Geçtiğimiz iki buçuk yıl boyunca TAG, bu Kuzey Koreli aktörler tarafından düzenlenen birden fazla kampanyayı titizlikle takip edip bozdu, 0 günlük güvenlik açıklarını ortaya çıkardı ve çevrimiçi kullanıcıları korudu.
Geçtiğimiz günlerde TAG, öncekiyle benzerlikler taşıyan yeni bir kampanya tespit etti. Rahatsız edici bir şekilde, son birkaç hafta içinde en az bir 0 günlük güvenlik açığından aktif olarak yararlanıldığını doğruladılar ve bu da onları derhal harekete geçmeye sevk etti.
TAG bu güvenlik açığını etkilenen satıcıya bildirdi ve düzeltme çalışmaları sürüyor.
Bu kampanyaya ilişkin analizler devam ederken TAG, güvenlik araştırma topluluğuna erken bildirimde bulunmayı seçti.
Bu, güvenlik araştırmacılarının devlet destekli saldırganların hedefi haline gelebileceğinin açık bir hatırlatıcısıdır ve güvenlik uygulamalarında dikkatli olmanın önemini vurgulamaktadır.
Bu Kuzey Koreli tehdit aktörlerinin kullandığı taktikler, önceki kampanyadaki taktikleri yansıtıyor.
X (eski adıyla Twitter) gibi sosyal medya platformları aracılığıyla potansiyel hedeflerle iletişim kurarlar ve yavaş yavaş güven oluştururlar.
Bir uyum sağlandıktan sonra Signal, WhatsApp veya Wire gibi şifreli mesajlaşma uygulamalarına geçiş yapıyorlar.
Ardından tehdit aktörleri, popüler yazılım paketlerinde gizlenmiş en az bir 0 günlük istismar içeren kötü amaçlı dosyalar gönderir.
Kötü amaçlı kod, başarılı bir şekilde kullanılmasının ardından bir dizi anti-sanal makine kontrolü gerçekleştirir ve ekran görüntüleri de dahil olmak üzere toplanan verileri, saldırganlar tarafından kontrol edilen bir komut ve kontrol alanına iletir.
Bu istismarlarda kullanılan kabuk kodu, daha önceki Kuzey Kore istismarlarıyla benzerlikler gösteriyor.
Bu tehdit aktörleri, 0 günlük istismarlara ek olarak Microsoft, Google, Mozilla ve Citrix gibi merkezi sembol sunucularından hata ayıklama sembollerini indirmek için bağımsız bir Windows aracı geliştirdi.
Ancak bu araç aynı zamanda saldırganların kontrolündeki alanlardan rastgele kod indirip çalıştırabilir ve bu da onu kullananlar için önemli bir risk oluşturur.
TAG, bu aracı indiren veya çalıştıran kişilerin, sistemlerinin temiz olmasını sağlamak da dahil olmak üzere, işletim sisteminin tamamen yeniden kurulmasını gerektirebilecek önlemler almasını şiddetle tavsiye eder.
TAG, bu ciddi tehditlerle mücadele etme kararlılığının bir parçası olarak, araştırma bulgularını Google ürünlerinin emniyetini ve güvenliğini artırmak için kullanır.
Kullanıcıları daha fazla istismardan korumak için belirlenen web sitelerini ve etki alanlarını hızla Güvenli Tarama’ya eklerler.
Ayrıca TAG, hedeflenen Gmail ve Workspace kullanıcılarını devlet destekli saldırgan uyarıları konusunda bilgilendirerek potansiyel hedefleri Chrome için Gelişmiş Güvenli Tarama’yı etkinleştirmeye ve cihazlarının güncel olduğundan emin olmaya teşvik ediyor.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, ikiTterve Facebook.