Kuzey Kore’nin en zorlu iki APT grubu Kimsuky ve Lazarus, istihbarat toplamayı büyük ölçekli kripto para hırsızlığıyla birleştiren koordineli bir operasyonel çerçeve oluşturdu.
Kapsamlı bir Trend Micro analizine göre bu iş birliği, Amerika Birleşik Devletleri, Güney Kore ve Avrupa ülkelerindeki askeri, finansal, blockchain, enerji ve sağlık sektörlerini hedef alan saldırılarla dünya çapındaki kritik altyapılara yönelik benzeri görülmemiş bir tehdit oluşturuyor.
Operasyonel model, sorumlulukları cerrahi bir hassasiyetle bölüyor: Kimsuky, akademik işbirlikleri olarak gizlenen karmaşık kimlik avı kampanyaları yoluyla keşif yürüten bir “dijital casus” işlevi görürken, Lazarus, kripto para birimini ve hassas verileri çıkarmak için sıfırıncı gün güvenlik açıklarından yararlanan “siber ATM” olarak çalışıyor.
Paylaşılan altyapı ve istihbarat kanalları aracılığıyla koordine edilen bu iş bölümü, 2024-2025’te benzeri görülmemiş ölçekte ve karmaşıklıkta saldırılara olanak sağladı.
Güney Koreli bir blockchain şirketine yakın zamanda yapılan bir saldırı, bu çift yönlü metodolojiye örnek teşkil ediyor. Saldırı, Kimsuky’nin “Uluslararası Blockchain Güvenlik Sempozyumu”na HWP formatlı bir belgenin içine gömülü bir FPSpy arka kapısı içeren sahte bir davetiye göndermesiyle başladı.
Kötü amaçlı yazılım, yürütmenin ardından KLogEXE keylogger’ı konuşlandırarak e-posta kimlik bilgilerini ve dahili ağ mimarisi verilerini topladı.
Bu istihbarat, Lazarus’un saldırı altyapısıyla anında senkronize edildi. Birkaç gün içinde Lazarus, yasal açık kaynaklı araç setleri gibi görünen kötü amaçlı Node.js proje dosyalarını dağıtarak Windows Erişilebilirlik Sürücüsü ayrıcalık yükseltme güvenlik açığı olan CVE-2024-38193’ten yararlandı.
Bu istismar, SİSTEM düzeyinde ayrıcalıklar vererek InvisibleFerret arka kapısının konuşlandırılmasına olanak sağladı.
Bu gelişmiş veri, uç nokta algılama ve yanıt (EDR) sistemlerini atlamak için Fudmodule kötü amaçlı yazılımı aracılığıyla algılama önleme yeteneklerini bir araya getirirken, BeaverTail araçları da özel şifreleme anahtarlarını ve işlem kayıtlarını çıkardı.
Sonuç felaketti: 48 saat içinde 32 milyon dolarlık kripto para birimi aktarıldı ve şirketin güvenlik altyapısı herhangi bir uyarı oluşturamadı.
Daha sonra her iki kuruluş da, 2014 Güney Kore nükleer tesis saldırısıyla doğrudan bağlantılı altyapıyı kullanarak, ortak komuta ve kontrol sunucuları aracılığıyla temizleme operasyonlarını koordine etti.
Kesinlik, Kalıcılık ve Kaçınma
Kimsuky’nin keşif cephaneliği artık geleneksel kimlik avının ötesine geçiyor. Grup, üniversite profesörlerinin e-posta adreslerini, sahte konferans web sitelerini ve yapay zeka tarafından oluşturulan makale özetlerini kullanarak ABD-Güney Kore ortak askeri tatbikat tesislerini hedeflemede %72’lik bir başarı oranına ulaşıyor.
Yakın zamanda tanımlanan MoonPeak uzaktan erişim truva atı, şifrelenmiş HTTP trafiği üzerinden ekran izleme, dosya sızdırma ve rastgele komut yürütme işlemlerini gerçekleştirirken kendisini sistem güncelleme işlemleri olarak gizler.
Lazarus, özellikle tedarik zincirinden yararlanma ve sıfırıncı gün silahlandırma konularında eşit derecede gelişmiş yetenekler sergiliyor.
Grup, CVE-2024-38193’ün ötesinde, kritik altyapıyı hedef alan çok sayıda açıklanmayan güvenlik açığını devreye aldı.
2023 3CX tedarik zinciri ihlali on binlerce kuruluşu etkilerken, blockchain uygulayıcılarını hedef alan bellek kazıma araçları 2024’ten bu yana 120 milyon doların üzerinde kripto para hırsızlığına neden oldu.
Stratejik Etkiler
Saldırıların zamanlaması jeopolitik olaylarla ilişkilidir: Kimsuky, Ağustos 2023’te ABD-Güney Kore askeri tatbikat tesislerine karşı çabalarını yoğunlaştırırken, Lazarus, Ekim 2024 BM yaptırım oylamalarından önce kripto para birimi hırsızlığı faaliyetlerini yoğunlaştırdı.
Bu model, diplomatik ve ekonomik baskılara yanıt veren devlet düzeyinde kaynak tahsisini önermektedir.
Kuruluşlar, donanım cüzdanı dağıtımı, CVE önceliklendirme protokolleri, sektörler arası tehdit istihbaratı paylaşımı ve sürekli güvenlik açığı düzeltme eki dahil olmak üzere çok katmanlı savunmaları uygulamalıdır.
Koordineli Kuzey Kore siber operasyonlarının ortaya çıkışı, izole edilmiş savunma stratejilerinin geçerliliğini yitirmiş, kapsamlı ve ekosistem çapında işbirliğinin artık kritik altyapıyı karmaşık devlet destekli tehditlere karşı korumak için gerekli olduğuna işaret ediyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.