Kuzey Kore tehdit aktörleri, güvenli ağlara sızmak için Python senaryoları ile birlikte sosyal mühendislik tekniklerini usta kullandıklarını gösterdiler.
Kore Demokratik Halk Cumhuriyeti (DPRK) operatörleri, endişe verici bir şekilde etkili olduğunu kanıtlayan ilk erişim vektörlerini oluşturmak için Python’un erişilebilirliğini ve gücünden yararlanıyor.
Python’un ustaca kullanımı
DPRK’nın laboratuvarları tersine çevirerek belgelenen VMConnect kampanyasında görüldüğü gibi siber operasyonlarda python kullanımı, meşru yazılım veya iş görüşme kodlama zorlukları altında python betiği oluşturmayı içerir.
.png
)
Yeni bir örnek olan RookeryCapital_Pythontest.zip, hayali bir “Capital One” iş görüşmesi için bir Python mücadelesi olarak yayıldı.
Bu örnek, pano işlemlerini yöneten, ancak veri açığa çıkma ve komut yürütme kabiliyetine sahip kodlanmış kodla kamufle edilen bir python modülü içerir.
Script, Base64 ve ROT13 kodlamasını kullanır, kötü niyetli niyetini hem insan analistlerinden hem de otomatik güvenlik sistemlerinden etkili bir şekilde gizler.
Gizli komutlar yürütmek
Yürütme üzerine, komut dosyası geçici bir dizine gizli bir python yükü yazar, sistem komutlarını çalıştırmak ve uzak bir sunucuya bağlantı kurmak için alt işlem modülünü kullanır.
Bu, saldırganların, saldırganın yerleşik bağlantı aracılığıyla komut gönderebileceği ve daha sonra kurbanın makinesinde yürütülen uzaktan kod yürütmesinden (RCE) kullanmasına izin verir.
Ayrıca, veri açığa çıkması veya daha fazla sistem uzlaşması da dahil olmak üzere gizli işlemleri gerçekleştirmek için kodlanmış komutları sunucudan alma yeteneği.
Algılamayı önlemek için, komut dosyası işletim sistemini kontrol eder, yükünü geçici dosyalara yazar ve bunları meşru görünen bir şekilde yürütmek için alt işlem çağrıları kullanır.
Geçici dosyaların kullanılması ve Base64 ve ROT13 gibi kodlama teknikleri, potansiyel olarak zararlı işlemler yaparken bile komut dosyasının tespit edilmemesini sağlar.
Rapora göre, bu saldırıların karmaşıklığı siber güvenlik profesyonelleri için önemli bir zorluk sunuyor.
Savunma stratejileri şu tanımlamaya uyum sağlamalıdır:
- Python’un, alt işlem ve tempfiles gibi sistem yardımcı programlarıyla nasıl etkileşime girdiği de dahil olmak üzere gizleme yetenekleri için kullanımı.
- Çalışanları kötü amaçlı kodlar yürütmeye yönlendirmek için kapsamlı kişilik geliştirme ve hedefli anlatıların kullanıldığı sosyal mühendisliğin evrimi.
- Saldırganların gerçek dünya bağlamını teknik kod yürütme mekanizmalarıyla birleştirdiği Python tabanlı sosyal mühendisliğe karşı sürekli uyanıklık.
DPRK’nın Python senaryolarını sosyal mühendislik yemleriyle birlikte kullanması, gelişmiş ve dinamik bir tehdit manzarasını ifade ediyor.
Savunucular, bu gibi davalardan içgörüleri kullanarak güvenlik duruşlarını desteklemeye kadar farkındalık eğitimine öncelik vermelidir.
Bu teknikleri anlamak, organizasyonları bu tür tehditleri proaktif olarak tespit etmek ve yanıtlamak için donatır ve DPRK gibi devlet aktörleri tarafından kullanılan sofistike siber operasyonlara karşı güçlü savunmalar sağlar.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!