Kuzey Kore devlet destekli tehdit grubu Jumpy Pisces, siber saldırılar gerçekleştirmek için Play fidye yazılımı grubuyla işbirliği yaptı. Kullanılan araçlar ve teknikler, saldırının etkisi ve kuruluşunuzu benzer tehditlerden nasıl koruyacağınız hakkında bilgi edinin.
Palo Alto Networks Birim 42 tarafından yakın zamanda gerçekleştirilen bir olay müdahale vakası, endişe verici bir gelişmeye ışık tutuyor: Kuzey Kore devlet destekli bir grup ile finansal motivasyona sahip bir fidye yazılımı çetesi arasındaki işbirliği.
Zıplayan Balık burcu olarak da bilinir Oniks Karla karışık yağmur ve Andariel (“Barışın Koruyucuları” olarak da bilinir) APT HBO’nun meşhur veri ihlali), siber casusluk, mali suçlar ve Maui gibi özel yapım fidye yazılımlarını dağıtma geçmişine sahip. Birim 42’nin araştırması Jumpy Pisces’in taktiklerinde bir değişiklik olduğunu ortaya çıkardı ve bu da onların fidye yazılımı saldırılarına giderek daha fazla dahil olabileceklerini gösteriyor.
Olay, ilk olarak 2022’nin ortalarında tespit edilen bir tehdit olan Play fidye yazılımının kullanıldığı bir saldırıyı içeriyordu. Play’in arkasındaki grup Fiddling Scorpius’un Hizmet Olarak Fidye Yazılımı (RaaS) modeli altında çalıştığı düşünülse de, sızıntı sitelerinde bunu yalanladılar.
Saldırı
Birim 42’nin araştırması, Play fidye yazılımının yayılmasıyla sonuçlanan bir dizi olayı ortaya çıkardı. Mayıs 2024’te Jumpy Pisces, güvenliği ihlal edilmiş bir kullanıcı hesabını kullanarak ilk erişim elde etti. Mayıs ve Eylül 2024 arasında açık kaynak gibi araçlardan yararlandılar. Şerit ve onların gelenekleri DTrack kötü amaçlı yazılımı yatay olarak hareket etmek ve ağ genelinde kalıcılığı sürdürmek için.
Eylül 2024’ün başlarında kimliği belirsiz bir aktör, muhtemelen Jumpy Pisces’in temellerini temel alarak aynı ele geçirilmiş hesap üzerinden ağa erişti. Bu aktör, fidye yazılımını devreye almadan önce kimlik bilgileri toplama ve EDR sensörünün kaldırılması da dahil olmak üzere fidye yazılımı öncesi faaliyetleri gerçekleştirdi. Fidye yazılımı oyna o ayın ilerleyen saatlerinde.
Açık kaynaklı Sliver C2 Framework’ün özelleştirilmiş sürümü, uzaktan komut yürütmeye olanak tanıyarak kalıcı komut ve kontrol (C2) iletişimini sürdürmelerini sağladı. Özel olarak oluşturulmuş DTrack kötü amaçlı yazılımı, etkilenen sistemlerden hassas bilgiler toplayan ve tespit edilmekten kaçınmak için bunları gizlenmiş GIF dosyalarına sıkıştıran bir bilgi hırsızı işlevi gördü.
Palo Alto Networks Birim 42’ye göre raporSaldırganlar komutları yürütmek, dosya aktarmak ve sistemle etkileşimde bulunmak için PowerShell komut dosyalarını kullandı. taklitçi ek hesap erişimi için bellekten düz metin şifreleri çıkararak kimlik bilgilerinin boşaltılmasını kolaylaştırdı.
Araştırmacılar ayrıca kullanımına da dikkat çekti. PsExecuzak sistemlerde süreçlerin yürütülmesine olanak tanıyan, yanal hareketi ve ayrıcalık yükseltmeyi destekleyen bir komut satırı aracıdır. Ek olarak, Windows erişim belirteçlerini manipüle etmek ve kötüye kullanmak için kullanılan bir araç olan TokenPlayer, belirteçleri çalmak için kullanıldı ve saldırganların ayrıcalıklı kullanıcıların kimliğine bürünmesine olanak tanıdı.
İşbirliği mi, Fırsat mı?
Birim 42, Jumpy Pisces’in bu saldırıda Play fidye yazılımı grubu/Fiddling Scorpius ile işbirliği yaptığına, çünkü aynı ele geçirilen hesabın hem Jumpy Pisces hem de Play fidye yazılımı aktörü tarafından kullanıldığına inanıyor. Jumpy Pisces, fidye yazılımı dağıtımından hemen önce faaliyetini durdurdu ve TokenPlayer ve PsExec, Play fidye yazılımı olaylarında yaygın olarak görülüyor.
Jumpy Pisces’in Play fidye yazılımının resmi bağlı kuruluşu olarak mı hareket ettiği yoksa sadece İlk Erişim Aracısı (IAB) olarak ağ erişimini mi sattığı belirsizliğini koruyor. Ancak bu, böyle bir işbirliğinin ilk belgelenmiş örneği olup, artan potansiyele ilişkin endişeleri artırmaktadır. Kuzey Koreli grupların fidye yazılımı kampanyalarına katılımı çünkü dünya çapındaki işletmeler ve kuruluşlar için daha büyük bir tehdit oluşturuyor.
Erich KronKnowBe4’te güvenlik farkındalığı savunucusu olan Kuzey Kore’nin son zamanlarda fidye yazılımına karışmasının finansal motivasyonlar nedeniyle stratejik işbirliği gösterdiğini belirtti. Kuzey Koreli aktörler ağ erişimi konusunda yetenekli olsalar da, fidye yazılımı operasyonlarında yeni oldukları için yerleşik bir grupla ortaklıkları faydalıdır. Kron, fidye yazılımlarının sosyal mühendisliğe büyük ölçüde bağımlı olduğu göz önüne alındığında, kuruluşların e-posta kimlik avı ile mücadeleye odaklanması gerektiğini vurguladı.
İLGİLİ KONULAR
- Sahte Kuzey Koreli BT Çalışanları Batılı Firmalara Sızıyor
- Elit Kuzey Koreli Hackerlar Rus Füze Geliştiricisini İhlal Etti
- İranlı Hackerlar ABD’ye Karşı Fidye Yazılımı Çeteleriyle İşbirliği Yapıyor
- Rus Bilgisayar Korsanları Taktik Değiştiriyor, Ücretli Kötü Amaçlı Yazılımlarla Kurbanları Hedefliyor
- Kuzey Koreli Hackerlar ATM’lerden Para Çekmek İçin FASTCash Kötü Amaçlı Yazılım Kullanıyor