Kore Demokratik Halk Cumhuriyeti, siber saldırıları casusluk amacıyla kullanma konusundaki sarsılmaz kararlılığını sergileyerek saldırgan siber programını geliştirmeye devam ediyor.
Mandiant tarafından yapılan değerlendirmelere göre Kuzey Kore’nin siber programı, kripto para birimine odaklanan yeni faaliyetler sergiledi. Dahası, Kuzey Kore uyumlu siber operatörlerin çabalarının bu hedeflere ulaşmak için bir araya geldiği görülüyor.
Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir
Ücretsiz demo
Mandiant’ın araştırması, yeni oluşturulan grupların veya görev güçlerinin ortaya çıktığını öne süren çok sayıda kampanyanın kanıtlarını ortaya çıkardı. Bu gruplar şüpheli geçmişlere ve farklı gruplardan gelen ekipmanlara sahip kişilerden oluşuyor gibi görünüyor.
Bu eylemlerin yürütülmesi, APT43 ve TEMP’e atfedilen faaliyetlerle bir dereceye kadar zamansal örtüşme sergilemiştir. Andariel ile doğrulanmamış bir bağlantının varlığı, yeni bir işbirlikçi ittifakın kurulmasını önerdi.
Analizimize dayanarak, tehdit aktörlerinin gözlemlenen davranışlarının daha yüksek düzeyde uyum yeteneğine işaret ettiği sonucuna varılabilir.
Bu aktörler, Çin Gelişmiş Kalıcı Tehditleri (APT’ler) gibi köklü siber tehdit gruplarını içerebilecek görev gücü odaklı kolektifler oluşturmaya yönelik kaynakları verimli bir şekilde tahsis etme yeteneğini göstermektedir.
Mart 2023’ün ikinci yarısında, kamuya yapılan açıklamada, çeşitli örnekler, dosyalar ve araçlar içerdiğinden şüphelenilen, APT37 ile ilişkili bir GitHub deposu açıklandı.
2021 yılında APT37 grubunun bir üyesi, altyapıyı hazırlamak amacıyla depoyu kullandı.
- Havuzun sahte belgeleri ve verileri eğitim, hükümet ve finans gruplarını hedef alıyor. HWP dosyaları ve temaları birçok kurbanın ve hedefin Güney Kore’den olduğunu gösteriyor.
- Bazı materyaller iş başvurusunda bulunmak veya gazetecileri hedeflemek için kullanılabilecek özgeçmişlere, özgeçmişlere ve referanslara odaklanmaktadır. Mandiant, APT43 gibi diğer aktörlerin bunu yürüttüğünü gördü.
- APT37, açık kaynak raporlarına göre Şubat 2023’te kötü amaçlı yazılımları sıkıştırılmış bir şifre dosyası olarak dağıtmakla suçlandı. APT43’ün LOGCABIN yükü açık kaynak kaynaklar aracılığıyla bildirildi.
Mevcut Siber Suç Grupları:
Andariel (UNC614): Andariel’in misyonu, nükleer silahlar “inşa etmek” veya ilaç gibi diğer stratejik endüstrilerde araştırma ve geliştirmeyi ilerletmek için kullanılabilecek istihbarat toplamaktır.
TEMP.Hermit: TEMP’in ana odak noktası. İzolatlar, kripto para birimi yerine casuslukla ilgili faaliyetler olarak kalmaya devam ediyor. Hükümet, Savunma ve Telekom Birincil Hedeflerdir.
AppleJeus (UNC1720): Bu grubun araçları TEMP ile örtüşmektedir. Hermit, ancak aynı hedefleme profillerine odaklanmıyor, bu da potansiyel olarak paylaşılan kaynakları gösteriyor.
APT37: Bu grup, MSS’ye en yakın gruptur ve genel siber faaliyetleri, yurtdışından kaçanların ve Kuzey Kore ile etkileşime giren yabancı unsurların izlenmesine odaklanmaktadır.
APT38: Bu kuruluş, birçok ülkede milyonlarca dolar çalan karmaşık Bankalararası Fon Transfer Sistemi hack’leriyle suçlanıyor. Alt gruplar mevcut grup etkinliğini gerçekleştirir.
APT43: Bu örgüt bir istihbarat kolu olarak hareket ediyor ve görünüşe bakılırsa RGB ve Kuzey Kore liderliğinin yerine büyükelçilik yapılıyor.
CryptoCore (UNC1069): LONEJOGGER kötü amaçlı yazılımıyla finansal hizmetlere ve kripto para borsalarına saldırmak için hedef odaklı kimlik avı kullanılıyor.
TraderHain (UNC4899): Grup, start-up’lara ve ileri teknoloji şirketlerine erişim sağlamak için bu iletişimleri başta sistem yöneticileri ve yazılım geliştiriciler olmak üzere personele çok sayıda iletişim kanalı üzerinden ulaştırıyor.
Kuzey Kore ekosistemindeki siber gruplar kötü amaçlı yazılımları ve araçları paylaşıyor. Bu kötü amaçlı yazılım aileleri, yeni birimlerin kendi gruba özel ailelerini oluşturmaları için verilmiş gibi görünüyor.
Faaliyetler:
- Andariel’in fidye yazılımı kampanyalarından yararlanarak mali kaynakları siber casusluk faaliyetlerinin yürütülmesine tahsis ettiği biliniyor. Bu faaliyetler, bitcoin hedeflemeyi ve serbest çalışmayı kapsayan daha büyük bir finansal ekosistemin ayrılmaz bileşenleridir. Fidye yazılımının operasyonları finanse etmek için bir araç olarak kullanılması, belirli grupların yönetim rejiminden izolasyonunun boyutunun bir örneğidir ve bu durum onların kendi kendini finanse etme mekanizmalarına güvenmelerini zorunlu kılmaktadır.
- Kuzey Kore ile uyumlu belirli siber operatörler Mandiant’ın izleri çeşitli siber alanlarda üstün performans sergiliyor. Operatörler, karmaşık görevleri yüksek düzeyde yürütme, ardından diğer görevlere geçme ve bu performans düzeyini koruma becerisini gösterdi.
- Microsoft’a göre Kuzey Kore birçok ülkedeki aşı üreticilerini gözetledi. Bu, hedefleme değerlendirmemizle ve Mandiant’ın hedef ilaçları bulduğu CUTELOOP ve PENDOWN etkinliğiyle eşleşti.
- APT43 ve COVID-19 siber saldırıları için alan adı tescil ettirenler çakışıyor. Bu da bu grupların kaynakları paylaştıklarının ve bürokratik olarak yakın olduklarının bir başka kanıtıdır.
Daha fazla veri toplandıkça, daha yüksek bir aslına uygunluk elde edilme şansı yüksektir. Bu aynı zamanda grupların kapsamının daha iyi belirlenmesine ve belirli işletmeleri veya sektörleri hedefleme konusunda uzmanlaşmış kişi veya kuruluşların keşfedilmesine de yardımcı olabilir.
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.