Kuzey Kore ile bağlantılı tehdit aktörleri, son birkaç haftadır makinelerine sızmak için belirtilmemiş bir yazılımdaki sıfır gün hatasını kullanarak siber güvenlik topluluğunu hedeflemeye devam ediyor.
Bulgular, saldırganın sosyal medya platformlarında sahte hesaplar açtığını tespit eden Google’ın Tehdit Analiz Grubundan (TAG) geldi. X (eski adıyla Twitter) ve Mastodon’u potansiyel hedeflerle ilişkiler kurmak ve güven oluşturmak için kullanıyoruz.
Güvenlik araştırmacıları Clement Lecigne ve Maddie Stone, “Bir vakada, bir güvenlik araştırmacısıyla ortak ilgi alanlarına ilişkin konularda işbirliği yapmaya çalışarak aylarca süren bir görüşme gerçekleştirdiler.” dedi. “X aracılığıyla ilk temastan sonra Signal, WhatsApp veya Wire gibi şifreli bir mesajlaşma uygulamasına geçtiler.”
Sosyal mühendislik uygulaması sonuçta popüler bir yazılım paketinde en az bir sıfır gün içeren kötü amaçlı bir dosyanın yolunu açıyor. Güvenlik açığı şu anda düzeltilme aşamasındadır.
Yük, bir dizi anti-sanal makine (VM) kontrolü gerçekleştirir ve toplanan bilgileri bir ekran görüntüsüyle birlikte saldırganın kontrolündeki bir sunucuya geri iletir.
X üzerinde yapılan bir arama, şu anda askıya alınan hesabın en az Ekim 2022’den beri aktif olduğunu ve aktörün Windows Çekirdeğindeki CVE-2021 gibi yüksek önem derecesine sahip ayrıcalık yükseltme kusurları için kavram kanıtını (PoC) yararlanma kodunu yayınladığını gösteriyor -34514 ve CVE-2022-21881.
Bu, Kuzey Koreli aktörlerin kurbanlara hastalık bulaştırmak için işbirliği temalı tuzaklardan yararlandığı ilk sefer değil. Temmuz 2023’te GitHub, TraderTraitor (diğer adıyla Jade Sleet) olarak takip edilen düşmanların, diğerlerinin yanı sıra siber güvenlik sektörünü hedef almak için sahte kişiler kullandığı bir npm kampanyasının ayrıntılarını açıkladı.
Microsoft’un sahibi olduğu şirket o dönemde “Bir hedefle temas kurduktan sonra, tehdit aktörü hedefi bir GitHub deposu üzerinde işbirliği yapmaya davet ediyor ve hedefi içeriğini klonlayıp yürütmeye ikna ediyor” dedi.
Google TAG ayrıca saldırganlar tarafından geliştirilen ve potansiyel ikincil enfeksiyon vektörü olarak GitHub’da barındırılan “GetSymbol” adlı bağımsız bir Windows aracı da bulduğunu söyledi. Bugüne kadar 23 kez çatallandı.
Eylül 2022’de GitHub’da yayınlanan ve şimdi kaldırılan hileli yazılım, “tersine mühendisler için Microsoft, Google, Mozilla ve Citrix sembol sunucularından hata ayıklama sembollerini indirme” olanağı sunuyor.
Ancak aynı zamanda bir komut ve kontrol (C2) alanından isteğe bağlı kod indirme ve yürütme yeteneğiyle birlikte gelir.
Açıklama, AhnLab Güvenlik Acil Durum Müdahale Merkezi’nin (ASEC), ScarCruft olarak bilinen Kuzey Koreli ulus devlet aktörünün, hassas verileri toplayabilen ve kötü niyetli talimatları yürütebilen bir arka kapı sunmak için kimlik avı e-postalarında LNK dosyası tuzaklarından yararlandığını ortaya çıkarmasıyla geldi.
Bu aynı zamanda Microsoft’un “çok sayıda Kuzey Koreli tehdit aktörünün yakın zamanda Rus hükümetini ve savunma sanayini – muhtemelen istihbarat toplamak için – hedef alırken, aynı zamanda Ukrayna’ya karşı savaşında Rusya’ya maddi destek sağladığı” yönündeki yeni bulgularını da takip ediyor.
Çok Savunmasız: Kimlik Saldırısı Yüzeyinin Durumunun Ortaya Çıkarılması
MFA’yı başardınız mı? PAM’mi? Hizmet hesabı koruması? Kuruluşunuzun kimlik tehditlerine karşı gerçekte ne kadar donanımlı olduğunu öğrenin
Becerilerinizi Güçlendirin
Rus savunma şirketlerinin hedef alındığı geçen ay SentinelOne tarafından da vurgulanmıştı; hem Lazarus Group’un (diğer adıyla Diamond Sleet veya Labyrinth Chollima) hem de ScarCruft’un (diğer adıyla Ricochet Chollima veya Ruby Sleet), bir Rus füze mühendisliği firması olan NPO Mashinostroyeniya’yı kolaylaştırmayı amaçlayan ihlalleri ortaya çıkardı. istihbarat toplama.
İki aktörün, Kasım 2022’den Ocak 2023’e kadar Almanya ve İsrail merkezli silah üretim şirketlerine sızdıkları, ayrıca Rusya’daki bir havacılık araştırma enstitüsünün yanı sıra Brezilya, Çekya, Finlandiya, İtalya, Norveç ve İtalya’daki savunma şirketlerini tehlikeye attıkları da gözlemlendi. Yılın başından beri Polonya.
Teknoloji devi, “Bu, Kuzey Kore hükümetinin, ülkenin askeri yeteneklerini geliştirmek için yüksek öncelikli toplama gereksinimlerini karşılamak üzere aynı anda birden fazla tehdit aktörü grubunu görevlendirdiğini gösteriyor” dedi.
Bu haftanın başlarında, ABD Federal Soruşturma Bürosu (FBI), çevrimiçi bir kumarhane ve bahis platformu olan Stake.com’dan 41 milyon dolarlık sanal para hırsızlığının arkasında Lazarus Grubunu suçladı.
Stake.com’dan Ethereum, Binance Smart Chain (BSC) ve Polygon ağlarıyla ilişkili çalınan fonların 4 Eylül 2023’te veya buna yakın bir tarihte 33 farklı cüzdana taşındığı belirtildi.
“Kuzey Koreli siber tehdit aktörleri, (1) devletin düşmanları olarak algılanan Güney Kore, ABD ve Japonya’nın faaliyetleri hakkında istihbarat toplamayı, (2) kendi güçlerini geliştirmek için diğer ülkelerin askeri yetenekleri hakkında istihbarat toplamayı amaçlayan siber operasyonlar yürütüyor. ve (3) devlet için kripto para birimi fonları toplamak.” dedi Microsoft.