Siber savaş / ulus-devlet saldırıları, sahtekarlık yönetimi ve siber suç, sosyal mühendislik
Kripto para birimi hırsızlığı için Rusya’yı kullanan void dokebi kampanyaları
Prajeet Nair (@prajeaetspeaks) •
24 Nisan 2025
Kuzey Koreli bilgisayar korsanları, Pyongyang’ın Rouge Nation’a çalınan nakit huni yapmak için inşa ettiği birçok çevrimiçi dolandırıcının arkasındaki internet altyapısı için Rusya’ya bakıyor.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
Trend Micro Çarşamba raporunda, Kuzey Kore ile uyumlu siber suç faaliyetlerini, Rusya’nın Khabarovsk şehrinde Sovyetler Birliği’nin ölümünden bu yana Kuzey Kore ile bağlar geliştiren bir organizasyona atanan IP adreslerine kadar takip etti. Ayrıca, “Kore -Rusya Dostluk Köprüsü” nin yeri olan Hermit krallığından Rus sınırının hemen karşısında bir mezra olan Khasan’a aktivite izledi. Büyük bir Rus telekomünikasyon firması 2017 yılında köprü boyunca bir fiber optik kablo koydu.
Araştırmacılar, ünlü Chollima olarak da bilinen boş Dokkaebi saldırı seti ile ilgili kampanyaların arkasındaki bilgisayar korsanlarının, algılama ve ilişkilendirmeden kaçınmak için bir VPN, proxy veya uzak masaüstü protokol oturumu ile gizlenmiş Rus IP adres aralıklarını kullandığını söyledi. Beş Rus IP serisi, sosyal mühendislik, kötü amaçlı yazılım dağıtım ve kripto cüzdan çatlamasını içeren kampanyaların belkemiği olarak hizmet vermektedir.
Bu yılın başlarında Bybit’ten 1,5 milyar dolarlık eter kripto para biriminin arkasındaki operatörler de dahil olmak üzere Kuzey Koreli bilgisayar korsanları, rejime liderlerin lüks yaşam tarzlarını doğrudan desteklemek için kullanılan fonlar ve ülkenin nükleer silahlar ve balistik füzeler de dahil olmak üzere kitle imha silahları geliştirmesini sağlıyor.
Void Dokebi bilgisayar korsanları, Sosyal Mühendislik BT iş arayanların Kuzey Koreli dolandırıcılığına, görüşme sürecinin bir parçası olarak varsayılan olarak kötü amaçlı yazılım bağlı kod indirmeleri için katılırlar. Ayrıca Batılı firmalarda uzak BT işçisi işleri elde ederler (bkz:: Uzaktan BT İşçisi taklit: içeriden gelen tehdit nasıl tespit edilir).
“Rus IP aralıklarının RDP kullanarak dünyanın dört bir yanındaki çok sayıda VPS sunucusuna bağlandığını ve daha sonra Skype, Telegram, Discord ve Slack gibi uygulamalar aracılığıyla iletişim kurmak, iş işe alım alanlarında yabancı BT profesyonelleri ile iletişim kurmak ve örneğin kripto para birimi ile ilişkili web sitelerine bağlanmak gibi, boş stolen parasıyla” boş stolen parasıyla “bulduklarını bulduk.
Void Dokkaebi, geliştiricileri sahte iş görüşmelerine çekmek için kaygan bir web sitesi ve LinkedIn ve Upwork gibi platformlarda varlık ile tamamlanan blocknovas adlı bir ön şirket kullanıyor. Mağdurlar, Düğüm Paket Yöneticisi paketlerinde gizlenmiş JavaScript tabanlı bir arka kapı olan Palo Alto Networks tarafından kötü amaçlı yazılım “Beaverail” indirmek için kandırılıyor.
Trend Micro araştırmacıları, blockNovas’ı bilinen Beaverail altyapısıyla ilişkilendirdi ve şirketin Ukraynalı profesyonelleri hedefleyen kıdemli bir yazılım mühendisi rolü için reklamı yaptığını keşfetti. Müfettişler, mülakatlar sırasında dağıtılan kötü amaçlı görevlerin, kurban sistemlerini tehlikeye atan gizlenmiş senaryolara enjekte ettiğini buldular.
Bir durumda, saldırganlar bir kurbanın web kamerasının MacOS’ta FrostyFerret veya Windows’ta Golangghost adlı kötü amaçlı yazılım olduğu ortaya çıkan bir yazılım güncellemesine ihtiyaç duyduğunu iddia etti. Bu enfeksiyonlar, Beaverail ve kampanyadaki diğer araçlar tarafından kullanılan aynı komut ve kontrol altyapısına bağlanmıştır.
Altyapı geniş. Kuzey Kore kampanyalarında kullanılan bilinen bir araç olan Astrill VPN, çeşitli katmanlardaki trafiği maskelemede belirgin bir şekilde yer aldı. Uzaktan yönetim portallarına bağlı saldırganlar ve hashtopolis gibi kimlik bilgisi kırma araçlarını dahili blocknovas alanlarına yüklediler.
Sözde Güney Carolina’da bulunan Blocknovas’ın kurumsal kaydı yok ve listelenen adresi boş bir lot. FBI, Kuzey Kore siberaktörlerine uluslararası bir kolluk kuvvetinin bir parçası olarak 23 Nisan’da alan adını ele geçirdi.