Kimuky olarak bilinen Kuzey Kore bağlantılı tehdit oyuncusu, hedefleri yönetici olarak çalıştırmak için hedefleri aldatmayı ve daha sonra kendileri tarafından sağlanan kötü niyetli kodları yapıştırmalarını ve çalıştırmalarını öğreten yeni bir taktik kullanılarak gözlendi.
“Bu taktiği yürütmek için, tehdit oyuncusu bir Güney Koreli hükümet yetkilisi olarak maskelenir ve zamanla bir mızrak aktı e-posta göndermeden önce bir hedefle ilişki kurar. [sic] PDF eki, “Microsoft Tehdit İstihbarat Ekibi X’de paylaşılan bir dizi yayında dedi.
Talep edilen PDF belgesini okumak için, kurbanlar pencereleri kaydetmek için adımlar listesi içeren bir URL’yi tıklamaya ikna edilir. Kayıt bağlantısı, PowerShell’i yönetici olarak başlatmaya ve görüntülenen kod snippet’ini terminale kopyalamaya/yapıştırmaya ve yürütmeye çağırır.
Mağdur takip ederse, kötü amaçlı kod, uzak bir sunucudan sabit kodlu bir PIN ile bir sertifika dosyası ile birlikte tarayıcı tabanlı bir uzak masaüstü aracı indirir ve yükler.
Microsoft, “Kod daha sonra, indirilen sertifikayı ve PIN’i kullanarak kurban cihazını kaydetmek için uzak bir sunucuya bir web isteği gönderiyor. Bu, tehdit aktörünün cihaza erişmesini ve veri açığa çıkmasını sağlamasını sağlar.” Dedi.
Teknoloji devi, Ocak 2025’ten bu yana sınırlı saldırılarda bu yaklaşımın kullanımını gözlemlediğini ve onu tehdit oyuncunun olağan tradecraft’ından ayrılma olarak tanımladığını söyledi.
Kimuky’nin uzlaşma stratejisini benimseyen tek Kuzey Koreli hack mürettebatı olmadığını belirtmek gerekir. Aralık 2024’te, bulaşıcı röportaj kampanyasına bağlı tehdit aktörlerinin, kullanıcıları, kameraya ve mikrofona erişmekle ilgili sözde bir sorunu ele alacak şekilde Apple macOS sistemlerinde kötü amaçlı bir komutu kopyalamaya ve yürütmeleri için kandırdıkları ortaya çıktı. Web tarayıcısı.
Bu tür saldırılar, sözde ClickFix yöntemini benimseyenlerle birlikte, kısmen kendi makinelerini enfekte etme hedeflerine güvendikleri ve böylece güvenlik korumalarını atlamalarından kaynaklanan son aylarda büyük bir şekilde başladı.
Arizona Kadın Kuzey Koreli BT İşçileri için Dizüstü Bilgisayar Çiftliği Koşmaktan Suçlu
Gelişme, ABD Adalet Bakanlığı (DOJ), Arizona eyaletinden 48 yaşındaki bir kadının, Kuzey Kore tehdidi aktörlerinin 300’den fazla uzak iş almasına izin veren hileli BT işçi planındaki rolünden suçlu bulunduğunu söyledi. ABD vatandaşları ve sakinleri olarak poz vererek ABD şirketleri.
Departman, Christina Marie Chapman ve Kuzey Kore için Ekim 2020 ile Ekim 2023 arasında uluslararası yaptırımları ihlal ederek 17,1 milyon doların üzerinde yasadışı gelir elde etti.
“Bir Amerikan vatandaşı olan Chapman, ABD vatandaşlarının kimliklerini çalmak için Ekim 2020’den Ekim 2023’e kadar denizaşırı BT işçileriyle komplo kurdu ve bu kimlikleri uzaktan BT işlerine başvurmak için kullandı ve planın ilerletilmesinde yanlış belgeleri aktardı. İç Güvenlik, “dedi DOJ.
“Chapman ve coconspirators, Fortune 500 şirketleri de dahil olmak üzere yüzlerce ABD şirketinde genellikle geçici personel şirketleri veya diğer sözleşme kuruluşları aracılığıyla iş buldular.”
Mayıs 2024’te tutuklanan sanık, Kuzey Koreli işçilerin ülke içinden çalıştığı izlenimini vermek için ikametgahında birden fazla dizüstü bilgisayara ev sahipliği yaparak bir dizüstü bilgisayar çiftliği işletmekle suçlanıyor, gerçekte, gerçekte, Çin ve Rusya’da ve şirketlerin iç sistemlerine uzaktan bağlantılı.
“Chapman ve komplocularının davranışları sonucunda 300’den fazla ABD şirketi etkilendi, 70’den fazla ABD’li kimliğin tehlikeye atıldığı, 100’den fazla durumda DHS’ye yanlış bilgi aktarıldı ve 70’den fazla ABD’li birey Adlarında yaratılan yanlış vergi yükümlülükleri, “diye ekledi DOJ.
Artan kolluk incelemesi, BT işçisi planının artmasına yol açtı ve veri açığa çıkma ve gasplama raporları ortaya çıktı.
ABD Federal Soruşturma Bürosu (FBI) geçen ay yapılan bir danışmanlıkta, “Şirket ağlarında keşfedildikten sonra, Kuzey Koreli BT işçileri, şirketler fidye taleplerini karşılayana kadar çalıntı tescilli veriler ve kod rehineleri tutarak kurbanları zorladı.” Dedi. Diyerek şöyle devam etti: “Bazı durumlarda, Kuzey Koreli BT işçileri kurban şirketlerinin tescilli kodunu halka açık bir şekilde yayınladı.”