Kuzey Koreli Hackerlar Kötü Amaçlı Yazılım Yaymak İçin Bulut Tabanlı Hizmetleri Kötüye Kullanıyor


Kuzey Koreli Hackerlar Kötü Amaçlı Yazılım Yaymak İçin Bulut Tabanlı Hizmetleri Kötüye Kullanıyor

ESET’in son raporu, çeşitli gelişmiş kalıcı tehdit (APT) gruplarının Nisan’dan Eylül 2024’e kadar olan faaliyetlerini detaylandırıyor ve hedefli kimlik avı saldırıları, kötü amaçlı yazılım dağıtımı ve güvenlik açığından yararlanma gibi karmaşık tekniklerin kullanımı da dahil olmak üzere bu dönemde gözlemlenen önemli eğilimleri ve gelişmeleri vurguluyor.

Gelişmiş Kalıcı Tehdit (APT) grupları, hayati önem taşıyan ulusal altyapıyı, devlet kurumlarını ve özel işletmeleri tehlikeye atma kapasiteleriyle ünlüdür.

Hizmet Olarak SIEM

MirrorFace, Flax Typhoon, Webworm ve GALLIUM gibi Çin’e bağlı tehdit aktörleri, hedefleme kapsamlarını ve taktiklerini önemli ölçüde genişletti. Geleneksel olarak Japon kuruluşlarına odaklanan MirrorFace, bir Avrupa Birliği diplomatik kuruluşunu hedef aldı.

Bu kuruluşlar, sürekli olarak ele geçirilen ağlara erişmeye devam etmelerini sağlamak için SoftEther VPN’i birincil araçları haline getirdi.

Yönetilen Tespit ve Yanıt Satın Alma Kılavuzu – Ücretsiz İndirin (PDF)

Değişim, Flax Typhoon’un SoftEther VPN’i yaygın kullanımında, Webworm’un tam özellikli bir arka kapıdan SoftEther VPN Köprülerine geçişinde ve GALLIUM’un Afrika telekomünikasyon ağlarında SoftEther VPN sunucularını konuşlandırmasında açıkça görülüyor.

İran bağlantılı siber aktörlerin, Afrika’daki finans kurumları, Irak ve Azerbaycan’daki devlet kurumları ve İsrail’deki kritik altyapı dahil olmak üzere, İran’ın jeopolitik çıkarı olan bölgelerdeki kuruluşlara odaklanan çeşitli kuruluşlara karşı hedefli siber casusluk operasyonları gerçekleştirdiği gözlemlendi.

Hedeflenen ülkeler ve sektörler
Hedeflenen ülkeler ve sektörler

Ayrıca hedeflerini Fransa’daki diplomatik misyonları ve Amerika Birleşik Devletleri’ndeki eğitim kurumlarını da kapsayacak şekilde genişlettiler ve istihbarat toplamak ve potansiyel olarak gelecekteki kinetik operasyonları desteklemek için daha geniş bir küresel strateji önerdiler.

Başta Kimsuky ve ScarCruft olmak üzere Kuzey Koreli tehdit aktörleri, kritik sektörleri hedef alan siber saldırılarına devam etti.

Sistemlere sızmak için Microsoft Yönetim Konsolu dosyaları gibi meşru araçlardan yararlandılar ve Google Drive, Microsoft OneDrive ve Zoho gibi popüler bulut hizmetlerinden yararlandılar.

 CloudSorcerer'ın tuzak PDF belgesi
CloudSorcerer’ın tuzak PDF belgesi

Başlıca hedefleri, savunma, havacılık, kripto para birimi ve Avrupa, ABD ve ötesindeki diğer stratejik sektörlere yönelik önemli tehditler oluşturan rejimin kitle imha silahları programlarını desteklemek için hem geleneksel hem de kripto para birimindeki fonları çalmaktı.

Son dönemdeki siber tehdit manzarası, çeşitli ulus devlet aktörlerinin yoğunlaştırılmış faaliyetlerini ortaya koyuyor. Aralarında Sednit ve GreenCube’un da bulunduğu Rusya bağlantılı gruplar, hedefleri tehlikeye atmak için Roundcube ve Zimbra gibi web posta sunucularındaki XSS güvenlik açıklarından yararlandı.

ESET’e göre Gamaredon hedef odaklı kimlik avı kampanyalarını artırırken Sandworm da WrongSens, LOADGRIP ve BIASBOAT gibi gelişmiş kötü amaçlı yazılımları kullanıyor.

Bir dezenformasyon kampanyası olan Texonto Operasyonu Ukraynalıları ve Rus muhalifleri hedef alıyor.

Aynı zamanda Polonya Anti-Doping Ajansı, Belarus’a bağlı FrostyNeighbor grubuyla erişimi paylaşan bir ilk erişim komisyoncusu tarafından ihlal edildi.

Güney Kore ile uyumlu olan APT-C-60 grubunun nihayet Windows için WPS Office’te bulunan bir uzaktan kod yürütme güvenlik açığından yararlandığı ortaya çıktı.

Run private, Real-time Malware Analysis in both Windows & Linux VMs. Get a 14-day free trial with ANY.RUN!



Source link