Genel Keşif Bürosu’na (RGB) bağlı Kuzey Kore ulus-devlet aktörleri, gerçek IP adreslerini ifşa eden bir operasyonel güvenlik (OPSEC) hatasının ardından JumpCloud saldırısına atfedildi.
Google’ın sahip olduğu tehdit istihbaratı firması Mandiant, etkinliği, çarpıcı blockchain ve kripto para sektörleri geçmişine sahip bir grup olan Jade Sleet ve TraderTraitor olarak zaten izlenen kümelerle muhtemelen örtüşen UNC4899 adı altında izlediği bir tehdit aktörüne bağladı.
UNC4899 ayrıca, bu Mart ayının başlarında hedeflenen şirketlerden istihbarat toplamak ve kripto para birimini çekmek için bir dizi kampanya yürüttüğü için maskesi düşürülen Kore Demokratik Halk Cumhuriyeti (DPRK) ile ilişkili başka bir bilgisayar korsanlığı ekibi olan APT43 ile de örtüşüyor.
Saldırganın gerçek çıkış noktasını gizlemek için ticari VPN sağlayıcıları ile birlikte L2TP IPsec tünellerini kullanan Operasyonel Röle Kutularının (ORB’ler) kullanılması ve ticari VPN hizmetlerinin son atlama görevi görmesi ile düşman kolektifin işleyiş biçimi karakterize edilir.
Pazartesi günü yayınlanan bir analizde şirket, “KDHC tehdit aktörlerinin bu son sekmeyi kullanmadığı veya kurbanın ağındaki operasyonlarda eylemler gerçekleştirirken yanlışlıkla bunu kullanmadığı birçok durum olmuştur.”[.]0/24 alt ağ.”
JumpCloud’a yönelik izinsiz giriş, 22 Haziran 2023’te, yazılım tedarik zinciri saldırısı olarak adlandırılan olayda beşten az müşteriyi ve 10’dan az sistemi ihlal etmek için yetkisiz erişimden yararlanan gelişmiş bir hedefli kimlik avı kampanyasının parçası olarak gerçekleşti.
Mandiant’ın bulguları, JumpCloud’un etkilenen müşterilerinden birine, adsız bir yazılım çözümleri varlığına yönelik bir siber saldırının ardından başlatılan bir olay yanıtına dayanmaktadır ve başlangıç noktası, 27 Haziran 2023’te JumpCloud aracısı aracılığıyla yürütülen kötü amaçlı bir Ruby betiği (“init.rb”)dir.
Olayın dikkate değer bir yönü, macOS Ventura 13.3 veya 13.4.1 sürümlerini çalıştıran dört Apple sistemini hedef alması, Kuzey Koreli aktörlerin son aylarda platform için özel olarak hazırlanmış kötü amaçlı yazılımları geliştirmeye devam eden yatırımlarının altını çiziyor.
Şirket, “İlk erişim, JumpCloud’dan ödün verilerek ve komut çerçevelerine kötü amaçlı kod eklenerek elde edildi” dedi. “En az bir örnekte, kötü amaçlı kod, JumpCloud aracısı aracılığıyla yürütülen hafif bir Ruby betiğiydi.”
Komut dosyası, kendi adına, FULLHOUSE.DORED adlı ikinci aşama bir yükü indirmek ve yürütmek için tasarlandı ve bunu STRATOFEAR ve TIEDYE gibi ek kötü amaçlı yazılımları dağıtmak için bir kanal olarak kullandı ve ardından izleri örtmek amacıyla önceki yükler sistemden kaldırıldı –
- FULLHOUSE.KAPILI – HTTP kullanarak iletişim kuran ve kabuk komut yürütme, dosya aktarımı, dosya yönetimi ve işlem enjeksiyonu desteğiyle birlikte gelen AC/C++ tabanlı birinci aşama arka kapı
- STRATOFEAR – Temel olarak sistem bilgilerini toplamak ve uzak bir sunucudan veya diskten yüklenen daha fazla modülü alıp yürütmek için tasarlanmış ikinci aşama modüler bir implant
- ISINMAK – Ek yükler çalıştırmak, temel sistem bilgilerini toplamak ve kabuk komutlarını yürütmek için uzak bir sunucuyla iletişim kurabilen ikinci aşama Mach-O yürütülebilir dosyası
TIEDYE’nin ayrıca, TCP üzerinden özel bir ikili protokol aracılığıyla iletişim kuran ve ters kabuk, dosya aktarımı, süreç oluşturma ve süreç sonlandırma yapabilen C++ ile yazılmış bir arka kapı olan RABBITHUNT ile benzerlikler gösterdiği söyleniyor.
Mandiant, “JumpCloud’u hedef alan kampanya ve daha önce bildirilen, bu yılın başlarında Trading Technologies X_TRADER uygulamasını ve 3CX Masaüstü Uygulaması yazılımını etkileyen DPRK tedarik zinciri uzlaşması, bu operasyonların aşağı yönlü kurbanları tehlikeye atmak için hizmet sağlayıcılara erişim sağlamaya yönelik ardışık etkilerini örnekliyor” dedi.
“Her iki operasyon da finansal olarak motive olmuş KDHC aktörleriyle bağlarından şüpheleniyor, bu da DPRK operatörlerinin kripto para birimini ve fintech ile ilgili varlıkları hedeflemeye yönelik artan çabaların bir parçası olarak belirli varlıkları hedeflemek için tedarik zinciri TTP’leri uyguladığını gösteriyor.”
Gelişme, GitHub’ın Blockchain, kripto para birimi, çevrimiçi kumar ve siber güvenlik şirketlerinde çalışan çalışanları npm’de barındırılan kötü amaçlı paketlere dayanan bir GitHub deposunda barındırılan kodu yürütmeleri için kandırmak için TraderTraitor aktörü tarafından düzenlenen bir sosyal mühendislik saldırısı konusunda uyarmasından günler sonra geldi.
Bulaşma zincirinin, aktör tarafından kontrol edilen bir etki alanından bilinmeyen bir ikinci aşama yükü indirmek için kötü niyetli npm bağımlılıklarından yararlandığı bulundu. O zamandan beri paketler kaldırıldı ve hesaplar askıya alındı.
Phylum, aynı kampanyada kullanılan yeni npm modüllerinin keşfini detaylandıran yeni bir analizde, “Çiftler halinde yayınlanan tanımlanmış paketler, belirli bir sırayla kurulum gerektirdi ve ardından uzak bir sunucudan son bir kötü amaçlı yükün indirilmesini kolaylaştıran bir belirteç aldı.” Dedi.
“Bu ekosistemlerin sunduğu geniş saldırı yüzeyini göz ardı etmek zor. Günümüz dünyasında bir geliştiricinin herhangi bir açık kaynak paketine güvenmemesi neredeyse imkansız. Bu gerçeklik, genellikle hırsızlar veya fidye yazılımları gibi kötü amaçlı yazılımların yaygın dağıtımı için patlama yarıçaplarını maksimize etmeyi amaçlayan tehdit aktörleri tarafından istismar ediliyor.”
İçeriden Gelen Tehditlere Karşı Kalkan: SaaS Güvenlik Duruş Yönetiminde Ustalaşın
İçeriden gelen tehditler konusunda endişeli misiniz? Seni koruduk! SaaS Güvenlik Duruş Yönetimi ile pratik stratejileri ve proaktif güvenliğin sırlarını keşfetmek için bu web seminerine katılın.
Bugün katıl
Pyongyang, yaptırım uygulanan nükleer silah programını beslemek için uzun süredir kripto para soygunlarını kullanırken, aynı anda rejimin siyasi ve ulusal güvenlik önceliklerini desteklemek için stratejik istihbarat toplamak için siber casusluk saldırıları düzenliyor.
Mandiant geçen yıl “Kuzey Kore’nin istihbarat teşkilatı, ülkenin ihtiyaçlarına göre siber birimler yaratma esnekliğine ve dayanıklılığına sahip” dedi. “Ayrıca altyapı, kötü amaçlı yazılım ve taktikler, teknikler ve prosedürlerdeki çakışmalar, siber operasyonları arasında paylaşılan kaynaklar olduğunu gösteriyor.”
Lazarus Group, bu bağlamda, uzaktan erişim truva atlarından fidye yazılımlarına ve amaca yönelik arka kapılara kadar her şeyi sağlamak için tasarlanmış saldırıları sürekli olarak düzenleyen ve ayrıca analizi engellemek ve takiplerini çok daha zorlaştırmak için taktik ve teknikleri değiştirmeye hazır olduğunu gösteren, üretken bir devlet destekli tehdit aktörü olmaya devam ediyor.
AhnLab Güvenlik Acil Durum Müdahale Merkezi’ne (ASEC) göre bu, yalnızca savunmasız Microsoft Internet Information Service (IIS) web sunucularını tehlikeye atma yeteneğiyle değil, aynı zamanda onları Güney Kore’yi hedef alan sulama deliği saldırılarında kötü amaçlı yazılım dağıtım merkezleri olarak kullanma becerisiyle örnekleniyor.
ASEC, “Tehdit aktörü, yama uygulanmamış sistemlere ilk erişim için sürekli olarak güvenlik açığı saldırılarını kullanıyor” dedi. “Dünya çapında oldukça aktif olan en tehlikeli tehdit gruplarından biridir.”
Kuzey Kore’nin çıkarlarını etkileyen jeopolitik olaylar ve müzakereler hakkında eşit derecede bilgi toplamaya odaklanan ikinci bir RGB destekli grup, AppleSeed gibi arka kapılar aracılığıyla zaten güvenliği ihlal edilmiş ana bilgisayarlara uzaktan komuta etmek için Chrome Uzaktan Masaüstü kullanılarak tespit edilen Kimsuky’dir.
ASEC bu ay “Kimsuky APT grubu, Koreli kullanıcılara karşı sürekli hedef odaklı kimlik avı saldırıları başlatıyor” dedi. “Genellikle e-postalara eklenmiş gizli belge dosyaları aracılığıyla kötü amaçlı yazılım dağıtma yöntemleri kullanırlar ve bu dosyaları açan kullanıcılar mevcut sistemleri üzerindeki kontrolü kaybedebilir.”