Siber Savaş / Ulus Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar , Sosyal Medya
Grup, Kurbanları İşle İlgili Bilgi Kılığında Kimlik Avı Yükünü Açmaya Çekiyor
Akşaya Asokan (asokan_akshaya) •
13 Mart 2023
Ticari sosyal medya platformu LinkedIn, tarihsel olarak Güney Kore hedeflerine odaklanan ve Batı’da güvenlik araştırmacıları ve medya endüstrisi çalışanlarının peşine düşmeye başlayan bir grup da dahil olmak üzere Kuzey Koreli bilgisayar korsanları için temettü ödemeye devam ediyor.
Ayrıca bakınız: Rusya-Ukrayna Savaşında Siber Savaş
Google tehdit istihbaratı birimi Mandiant tarafından UNC2970 olarak izlenen bir Pyongyang grubu, kurbanlarını iş tanımı veya beceri değerlendirmesi kılığına girmiş bir kimlik avı yükünü açmaya ikna etmek amacıyla LinkedIn’de işe alım görevlileri kılığına giriyor.
Kimlik avı yükleri, çoğunlukla, uzak bir komut ve kontrol sunucusundan bir yükü aşağı çekmek ve yürütmek için uzak şablon enjeksiyonu gerçekleştirmek için makrolarla gömülü Microsoft Word belgeleridir – Mandiant, tipik olarak güvenliği ihlal edilmiş WordPress siteleri, diye yazıyor. Tanımladığı ve Haziran 2022’den beri aktif olan UNC2970 operasyonu, Google’ın Tehdit Analizi Grubu, Proofpoint ve ClearSky gibi şirketler tarafından alenen Dream Job Operasyonu olarak tanımlanan sahte işe alma faaliyetiyle örtüşüyor.
Kuzey Kore bilgisayar korsanlığı, yakın devlet denetimi altında yürütülüyor, ancak Mandiant, münzevi krallığına atfedilen tüm faaliyetleri “Lazarus Grubu” olarak bir araya getirmekten daha incelikli olması gerektiğini iddia ediyor. Kuzey Kore, altyapı, kötü amaçlı yazılım ve taktikler açısından örtüşseler bile farklı bilgisayar korsanlığı birimlerini sürdürerek esnekliği ve dayanıklılığı koruyor.
En son kampanya, saldırganların kurbanlarıyla temas kurmak için The New York Times gibi meşru medya kuruluşlarını taklit ederek işe alım görevlileri kılığına girmesiyle başlıyor. Mandiant, kimliği belirsiz bir ABD teknoloji şirketini hedef alan bir kimlik avı kampanyasını tespit ettikten sonra kampanyayı keşfetti.
Bilgisayar korsanları, kurbanları konuşmayı LinkedIn’den WhatsApp’a kaydırmaya ve hedeflerini kötü amaçlı bir sıkıştırılmış dosya indirmeleri için kandırmaya ikna ediyor. Mandiant, LinkedIn hesaplarının “meşru kullanıcıların kimliklerini taklit etmek için iyi tasarlanmış ve profesyonelce derlenmiş” olduğunu söylüyor.
Kurbanlar dosyayı etkinleştirdiğinde, kötü amaçlı uygulama LidShift adlı kötü amaçlı yazılımı indirir ve ardından kötü amaçlı yazılım komutunu ve denetleyicisini indirir. Bilgisayar korsanları daha sonra bir ağ dayanağı oluşturmak, keylogging gerçekleştirmek ve komuta ve kontrol sunucularıyla iletişim kurmaya çalışmak için birkaç başka kötü amaçlı yazılım varyantı yükler.
En az bir vakada, tehdit aktörleri ortamdaki ana bilgisayarlara kötü amaçlı yazılım dağıtmak için Microsoft’un uç nokta yönetim hizmeti InTune’u kullandı. UNC2970, kötü amaçlı kod içeren özel PowerShell betiklerini istemci ortamındaki çeşitli ana bilgisayarlara yüklemek için Microsoft Intune yönetim uzantısını kullandı. PowerShell betiği, kötü amaçlı yazılım Mandiant izlerinin Cloudburst olarak kodunu çözmek ve yasal bir Windows ikili dosyası gibi görünmesini sağlayarak yandan yüklemek için kullanıldı.