Kuzey Koreli Hackerlar Siber Güvenlik Profesyonellerine Saldırıyor


Bilgisayar korsanları, sistemlerini başarılı bir şekilde ele geçirmek veya kimlik bilgilerine erişim sağlamak, değerli bilgi ve araçlara açılan bir kapı sağladığı için siber güvenlik profesyonellerini hedef alıyor.

Bunun yanı sıra, siber güvenlik profesyonellerinin sistemleri üzerinde kontrol sahibi olmak, önemli saldırılar sırasında tespit edilmekten kaçınmak veya kesintiye uğramak için stratejik bir hamle olabilir.

SentinelOne’daki siber güvenlik araştırmacıları, Kuzey Koreli bilgisayar korsanlarının tehdit araştırma raporlarını çalmak için siber güvenlik uzmanlarını aktif olarak hedef aldığını keşfetti.

Belge

Ücretsiz Web Semineri

MOVEit SQLi, Zimbra XSS gibi sıfır gün güvenlik açıkları ve her ay keşfedilen 300’den fazla güvenlik açığı sorunu daha da karmaşık hale getiriyor. Bu güvenlik açıklarının düzeltilmesindeki gecikmeler uyumluluk sorunlarına yol açar; bu gecikmeler, AppTrana’daki 72 saat içinde “Sıfır güvenlik açığı raporu” almanıza yardımcı olan benzersiz bir özellik ile en aza indirilebilir.

Kuzey Koreli Hackerlar Siber Güvenlik Profesyonellerine Saldırıyor

SentinelLabs, Kuzey Kore’de Güney Koreli uzmanları hedef alan “ScarCruft”u takip etti. Bireylere yönelik ısrarlı saldırılar iki ay sürdü ve ScarCruft (diğer adıyla APT37), Kimsuky ile bağlantılı, test edilmiş bir kötü amaçlı yazılımdır.

Tuzak belgeleri, siber uzmanları hedef alan tehdit raporlarını taklit ediyor. ScarCruft, güçlü bir arka kapı olan RokRAT dağıtımı için büyük boyutlu LNK dosyalarını kullanıyor.

Tehdit aktörlerinin kullandığı taktikler 2023’ün önceki kampanyalarına benziyor. Kuzey Kore için stratejik bilgi toplama konusunda uzmanların yardımlarına odaklanın.

Ancak siber güvenlik profesyonellerinin hedef alınması savunma stratejilerine ilgi duyulduğunu gösteriyor.

13 Aralık 2023’te kirnchi122’den gelen bir kimlik avı e-postası[@]Kuzey Kore Araştırma Enstitüsü üyesi gibi davranan hanmail.net, Kuzey Kore işleri uzmanını hedef aldı.

E-posta güncel görünüyor ve 13 Aralık duyuru.zip arşivinde sunum materyalleri sunduğunu iddia eden, aynı tarihteki sahte bir etkinliğe atıfta bulunuyor.

Kimlik avı e-postası (Kaynak - SentinelOne)
Kimlik avı e-postası (Kaynak – SentinelOne)

Dokuz dosyadan yedisi zararsız Hangul Kelime İşlemci (HWP) ve PowerPoint belgeleri, ikisi ise zararlı LNK dosyalarıdır.

Kötü amaçlı yazılımlar için popüler olan LNK dosyaları, Microsoft’un varsayılan makro güvenliğinden yararlanır. Karışımı sağlamak için Kuzey Kore insan haklarının adını taşıyan tüm dosyalar bir sayıyla başlıyor.

Burada, Hangul Kelime İşlemci simgesi kullanıldığında, LNK dosyaları Hanword belgeleri gibi görünür.

Enfeksiyon zinciri (Kaynak - SentinelOne)
Enfeksiyon zinciri (Kaynak – SentinelOne)

Aralık 2023’te ScarCruft, daha önce 16 Kasım 2023’te saldırıya uğrayan kişileri hedef alarak düşmanın ısrarını ortaya çıkardı.

Önceki kampanya, c039911’den gelen bir kimlik avı e-postası gönderen bir haber kuruluşunu içeriyordu.[@]daum.net, Kuzey Kore piyasa fiyatı analizini taklit eden iki kötü amaçlı HWP dosyası ekliyor.

HWP formatında OLE nesneleri içeren belgeler, etkinleştirme sonrasında C2 URL’lerini gösterir. Meta veriler, Daily NK’ler gibi hesapları birbirine bağlayarak Kuzey Kore hedefleme stratejilerine işaret ediyor. Kimsuky kampanyalarıyla benzerlikler, Daily NK ile ilgili kötü amaçlı yazılım hakkında soruları gündeme getiriyor.

ScarCruft’un bir Rus füze organizasyonuyla örtüşmesi, taktiklerini daha da vurguluyor. C2 URL’lerinin ve kullanıcı parametrelerinin araştırılması devam etmektedir. Altyapı ayrıntıları Cherry Sunucularının kullanımını ve Namecheap alan adı kayıt taktiklerini ortaya çıkarıyor.

Aktörün etki alanı rotasyonu, anlık alım gibi durumlarda görüldüğü gibi tespitten kaçınmayı amaçlamaktadır.[.]org GitHub’u taklit ediyor. Bu model, Kuzey Kore bağlantılı tehdit aktörleriyle uyumludur.

Başarılı bir koruma için hedeflerin, tehdit aktörlerinin saldırılarını ve enfeksiyon stratejilerini daha iyi bilmesi ve kavraması gerekir.



Source link