Kuzey Kore’nin (DPRK) tehdit aktörleri olan Kuzey Kore’nin, bir kuruluşun intranetine yetkisiz erişim sağlamak için çeşitli tedarik zinciri saldırılarına karıştığı bildirildi.
Kuzey Kore tehdit aktörleri tarafından istismar edilen yazılımlardan biri, sıfır gün güvenlik açığı içeren MagicLine4NX güvenlik kimlik doğrulama programıydı.
Bu güvenlik açığı, internete açık bir sisteme ilk izinsiz girişe izin verdi ve yana doğru hareket etti veya bilgilere yetkisiz erişim sağladı.
Tehdit aktörleri, bu saldırılar için bir su sızıntısı saldırısı kullanıyordu; bu saldırılarda bir uzlaşma, tedarik zinciri enfeksiyonuna yol açıyordu.
Güvenlik açığı açıklanmadı ancak MagicLine4NX 1.0.0.1 ~ 1.0.0.26 sürümlerinde mevcut olduğu tespit edildi.
Yaklaşan web seminerinde CTO Karthik Krishnamoorthy ve Indusface Ürün Başkan Yardımcısı Vivek Gopalan, API’lerin nasıl saldırıya uğrayabileceğini gösteriyor. Oturumda şunlar ele alınacak: OWASP API’nin en iyi 10 güvenlik açığından yararlanma, API’ye kaba kuvvetle hesap ele geçirme (ATO) saldırısı, API’ye DDoS saldırısı, WAAP’ın API ağ geçidi üzerinden güvenliği nasıl artırabileceği
Ücretsiz Kayıt Ol
MagicLine4NX Sıfır Gün
Watering-hole saldırısıyla ilk erişimin bir parçası olarak, tehdit aktörleri bir medya kuruluşunun web sitesini ele geçirdi ve yalnızca belirli IP aralıklarından erişildiğinde çalışan kötü amaçlı bir komut dosyası dağıttı.
Belirli bir IP aralığındaki herhangi bir kurbanın, ele geçirilen web sitesinde virüslü bir makale açtığını varsayalım. Bu durumda kötü amaçlı kod, kurbanın bilgisayarını Komuta Kontrol sunucusuna (C2) bağlayan ve tehdit aktörlerine uzaktan erişim sağlayan güvenlik açığı bulunan yazılım nedeniyle çalıştırılıyor.
Tehdit aktörleri daha sonra ele geçirilen sistemden internete bağlı bir sunucuya erişebildi ve kötü amaçlı kodları iş tarafındaki sunuculara yaymak ve hassas bilgileri çalmak için ağa bağlı sistemin veri senkronizasyon işlevinden yararlanabildi.
İki C2 sunucusu
Kötü amaçlı kodlardan etkilenen iş sunucularında, biri ortada ağ geçidi görevi gören, diğeri ise harici internet üzerinde yer alan iki adet C2 sunucusu bulunuyordu.
Buna ek olarak, kötü amaçlı kod, ilk işaret verilerini sızdırma ve şifrelenmiş yükleri yürütme yeteneğine sahipti.
Ancak çözümün güvenlik politikası nedeniyle kodun yanal olarak hareket etmesi mümkün olmadı ve taşınması engellendi, bu da birçok bilginin açığa çıkmasını engelledi.
Ayrıca, NCSC tarafından Kuzey Kore tehdit aktörleri ve bunların tedarik zinciri saldırı vektörleri hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor yayınlandı.
14 günlük ücretsiz deneme sürümünü deneyerek StorageGuard’ın depolama sistemlerinizdeki güvenlik kör noktalarını nasıl ortadan kaldırdığını deneyimleyin.