Kuzey Koreli Hackerlar CyberLink Kullanıcılarını Hedef Alıyor

   Kasım 23, 2023  Posted in CyberSecurityNews


Kuzey Koreli Hackerlar Tedarik Zinciri Saldırısında CyberLink Kullanıcılarına Saldırıyor

Microsoft Tehdit İstihbaratı, sürekli gelişen siber güvenlik alanında, Kuzey Koreli Hackerlar Diamond Sleet (ZINC) tarafından düzenlenen karmaşık bir tedarik zinciri saldırısını ortaya çıkardı.

Bu ustaca saldırı, meşru bir CyberLink Corp. uygulamasına müdahale edilmesini ve gizli bir ikinci aşama yükünü barındıran kötü niyetli bir varyantın konuşlandırılmasını içeriyordu.

Akıllıca gerçek bir CyberLink yükleyicisi gibi gizlenen bu aldatıcı dosya, dünya çapında 100’den fazla cihaza sızarak Japonya, Tayvan, Kanada ve Amerika Birleşik Devletleri gibi ülkelerde silinmez bir iz bıraktı.

Belge

Ücretsiz Web Semineri

Yaklaşan web seminerinde CTO Karthik Krishnamoorthy ve Indusface Ürün Başkan Yardımcısı Vivek Gopalan, API’lerin nasıl saldırıya uğrayabileceğini gösteriyor. Oturumda şunlar ele alınacak: OWASP API’nin en iyi 10 güvenlik açığından yararlanma, API’ye kaba kuvvetle hesap ele geçirme (ATO) saldırısı, API’ye DDoS saldırısı, WAAP’ın API ağ geçidi üzerinden güvenliği nasıl artırabileceği


Kötü Amaçlı Uyarlama Sanatı

Diamond Sleet’in işleyiş tarzı, geçerli bir CyberLink Corp sertifikasıyla imzalanmış bir dosyanın sahtesini yapmaya kadar uzanan olağanüstü düzeyde bir sanat eseri sergiliyor.

CyberLink’in güncelleme altyapısında stratejik olarak konumlandırılan bu dosya, güvenlik önlemleri tarafından tespit edilmekten kaçınmak için yürütme süresi penceresini sınırlayan kaçamak taktikler kullanır.

Microsoft, büyük bir güvenle, bu faaliyeti bilgi teknolojisi, savunma ve medya gibi sektörleri hedeflemesiyle ünlü Kuzey Koreli bir tehdit aktörü olan Diamond Sleet’e atfediyor.

Tedarik zincirindeki bu uzlaşmaya yanıt olarak Microsoft, hızla bir stratejik savunma planı uygulamaya koydu:

  • CyberLink’e bildirim: Microsoft, CyberLink’i ihlal konusunda derhal uyararak düzeltici önlemleri almasına ve müşterilerini korumasına olanak tanıdı.
  • Etkilenen Müşterilerin Uyarılması: Bu kampanyadan etkilenen Uç Nokta için Microsoft Defender müşterileri anında bilgilendirildi ve bu sayede tehdidi azaltmak için proaktif adımlar atmalarına olanak tanındı.
  • GitHub’a raporlama: Microsoft, GitHub’da ikinci aşama veriyi belirledikten sonra saldırıyı derhal bildirdi; bu da yükün kaldırılmasına ve platform kullanıcılarının korunmasına yol açtı.
  • Sertifikanın Engellenmesi: Microsoft, daha fazla istismarı önlemek için CyberLink Corp. sertifikasını yasaklı öğeler listesine ekleyerek kötü amaçlarla kullanımını etkili bir şekilde engelledi.
  • Tehdidi Sınıflandırma: Microsoft’un güvenlik çözümleri, Uç Nokta için Microsoft Defender’da bu etkinliği algılayıp Diamond Sleet olarak sınıflandırarak kullanıcılara tehdit hakkında net ve eyleme dönüştürülebilir bilgiler sağlar.

Diamond Sleet Tanıtıldı

Eskiden ZINC olarak bilinen Diamond Sleet, küresel erişime sahip karmaşık bir Kuzey Kore tehdit grubu olarak ortaya çıkıyor.

Casusluk, veri hırsızlığı, mali kazanç ve ağ kesintisi konularında uzmanlaşan bu grup, özel özel kötü amaçlı yazılımlardan oluşan bir cephaneliğe sahiptir.

Microsoft’un raporu, Temp.Hermit ve Labyrinth Chollima gibi diğer güvenlik kuruluşları tarafından takip edilen faaliyetlerle iç içe geçen Diamond Sleet’in son zamanlardaki istismarlarına ışık tutuyor.

Teknik nüansları inceleyen Microsoft, değiştirilmiş CyberLink yükleyicisinin şüpheli etkinliğini 20 Ekim 2023 gibi erken bir tarihte gözlemledi.

Diamond Sleet’in taktik kitabı, hassas verilerin sızmasını, yazılım oluşturma ortamlarının tehlikeye atılmasını ve kurban ortamlarında kalıcı erişim sağlanmasını içeriyor.

LambLoad Serbest Bırakıldı

Diamond Sleet’in silahlı indiricisi ve yükleyicisi LambLoad, kötü amaçlı kodunu meşru bir CyberLink uygulaması içinde gizler.

SHA-256 karmasını taşıyan yükleyici 166d1a6ddcde4e859a89c2c825cd3c8c953a86bfa92b343de7e5bfbfb5afb8beilerlemeden önce uygulama koşullarını titizlikle kontrol eder.

Microsoft, kuruluşları bu tehdide karşı korumak için önemli öneriler yayınlıyor:

  • Bulut tarafından sağlanan korumayla Microsoft Defender Antivirus’ü kullanın: Bu kapsamlı çözüm, Diamond Sleet’in kötü amaçlı kodu da dahil olmak üzere çok çeşitli tehdide karşı gerçek zamanlı koruma sağlar.
  • Ağ korumasını etkinleştirin: Uç Nokta için Microsoft Defender’ın ağ koruma özellikleri, kötü amaçlı etki alanlarına erişimin engellenmesine yardımcı olarak saldırının başlangıç ​​aşamasını engeller.
  • Otomatik incelemeyi ve düzeltmeyi etkinleştirin: Uç Nokta için Microsoft Defender, araştırma ve düzeltme sürecini otomatikleştirerek saldırıların etkisini en aza indirir ve manuel müdahaleyi azaltır.
  • Kötü amaçlı etkinlikleri hızlı bir şekilde ele alın: Tespit edildikten sonra, etkilenen sistemleri derhal izole edin ve daha fazla güvenliğin ihlal edilmesini önlemek için kimlik bilgilerini sıfırlayın.
  • Saldırı yüzeyi azaltma kurallarını uygulayın: Saldırı yüzeyi azaltma kuralları, güvenilmeyen yürütülebilir dosyaları engelleyerek kötü amaçlı kodların yürütülmesini engeller.

Kodun Şifresini Çözmek

Teknik bilgiler, LambLoad’un geri aramalar için güvenliği ihlal edilmiş alanlardan yararlanan ve yükünü PNG dosyaları içinde gizleyen manevralarını ortaya koyuyor.

Bağımsız analiz için Microsoft, güvenlik araştırmacılarının kötü amaçlı yazılımı incelemesine ve iç işleyişine ilişkin daha derin içgörüler elde etmesine olanak tanıyan bir şifre çözme komut dosyası sunuyor.

Microsoft Defender Antivirus ve Uç Nokta için Microsoft Defender, Diamond Sleet’in cephaneliğiyle ilişkili tehdit bileşenlerini tespit ederek ve kategorilere ayırarak dikkatli davranır.

Bu sürekli izleme, kuruluşların bu karmaşık tehdit aktörünün kullandığı gelişen taktiklere, tekniklere ve prosedürlere karşı korunmasını sağlar.

14 günlük ücretsiz deneme sürümünü deneyerek StorageGuard’ın depolama sistemlerinizdeki güvenlik kör noktalarını nasıl ortadan kaldırdığını deneyimleyin.



Source link