ABD ve Güney Kore istihbarat teşkilatları, Kuzey Koreli siber aktörlerin düşünce kuruluşları, akademi ve haber medyası sektörlerini vurmak için sosyal mühendislik taktiklerini kullanmalarına ilişkin yeni bir uyarı yayınladı.
“Sürekli bilgi toplama çabaları”, adı verilen devlet destekli bir kümeye atfedildi. KimsukiAPT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (önceden Thallium), Nickel Kimball ve Velvet Chollima isimleriyle de bilinir.
Ajanslar, “Kuzey Kore, bu hedefli kimlik avı kampanyalarından elde edilen istihbarata büyük ölçüde güveniyor” dedi. “Hedeflenen kişilerin başarılı bir şekilde ele geçirilmesi, Kimsuky aktörlerinin hassas, yüksek değerli hedeflere karşı kullanılabilecek daha güvenilir ve etkili kimlik avı e-postaları oluşturmasını sağlıyor.”
Kimsuky, Kuzey Kore’nin Genel Keşif Bürosu (RGB) içindeki yardımcı bir unsurdan bahsediyor ve rejimin çıkarlarını etkileyen jeopolitik olaylar ve müzakereler hakkında taktik istihbarat toplamasıyla biliniyor. En az 2012’den beri aktif olduğu biliniyor.
NSA Siber Güvenlik Direktörü Rob Joyce, “Bu siber aktörler, jeopolitik olaylar, dış politika stratejileri ve Kore Yarımadası’ndaki Kuzey Kore’yi ilgilendiren güvenlik gelişmeleri hakkında istihbarat toplamak için stratejik olarak meşru kaynakların kimliğine bürünüyor” dedi.
Buna gazeteciler, akademik akademisyenler, düşünce kuruluşu araştırmacıları ve hükümet yetkilileri dahildir ve hile, öncelikle dış politika ve siyasi uzmanlar gibi Kuzey Kore meseleleri üzerinde çalışan kişileri ayırmak için tasarlanmıştır.
Yetkililer, Kimsuky’nin siber programlarının amacının Kuzey Kore hükümetine yasadışı erişim sağlamanın yanı sıra çalınan veriler ve değerli jeopolitik bilgiler sağlamak olduğunu söyledi.
Kimsuky’nin potansiyel ilgi hedeflerini belirlemek için açık kaynak bilgisinden yararlandığı ve ardından kimliğine bürünmeye çalıştıkları gerçek kişilerin e-posta adreslerine benzeyen e-posta adresleri oluşturarak çevrimiçi kişiliklerini daha meşru görünecek şekilde oluşturduğu gözlemlendi.
Sahte kimliklerin benimsenmesi, diğer devlet destekli gruplar tarafından benimsenen bir taktiktir ve kurbanlarla güven kazanmak ve yakınlık kurmak için bir hile olarak görülür. Düşmanın, ikna edici e-posta mesajları düzenlemek için kimliğine bürünen kişilerin e-posta hesaplarını tehlikeye attığı da biliniyor.
“Kuzey Kore [Democratic People’s Republic of Korea] aktörler, bir hedefi aldatmak için genellikle yaygın internet hizmetlerine ve medya sitelerine benzeyen etki alanlarını kullanır.”
“Kimsuky aktörleri temalarını hedeflerinin ilgi alanlarına göre şekillendiriyor ve içeriklerini Kuzey Kore gözlemcileri topluluğu arasında tartışılan güncel olayları yansıtacak şekilde güncelleyecek.”
Bir hedefle iletişim kurmak için birden fazla kişi kullanmanın yanı sıra elektronik mesajlar, doğrudan eklenmiş veya Google Drive veya Microsoft OneDrive’da barındırılan parola korumalı kötü amaçlı belgelerle birlikte gelir.
🔐 API Güvenliğinde Uzmanlaşma: Gerçek Saldırı Yüzeyinizi Anlamak
API ekosisteminizdeki kullanılmayan güvenlik açıklarını keşfedin ve güçlü güvenlik için proaktif adımlar atın. Bilgilendirici web seminerimize katılın!
Oturuma Katılın
Cazibe dosyaları açıldığında, alıcıları makroları etkinleştirmeye teşvik ederek, BabyShark gibi kötü amaçlı yazılımlar aracılığıyla cihazlara arka kapı erişimi sağlanmasına neden olur. Ek olarak, kalıcı erişim, bir kurbanın gelen kutusuna düşen tüm e-postaları aktör tarafından kontrol edilen bir e-posta hesabına gizlice otomatik iletmek için silah haline getirildi.
Gelişme, siber güvenlik firması SentinelOne’dan haftalar sonra, Kimsuky’nin keşif ve bilgi hırsızlığı için ReconShark (BabyShark’ın yükseltilmiş bir versiyonu) ve RandomQuery gibi özel araçları kullandığını ayrıntılı olarak açıkladı.
Bu Mart ayının başlarında, Alman ve Güney Kore hükümet yetkilileri, Kimsuky tarafından düzenlenen ve kullanıcıların Gmail gelen kutularını çalmak için hileli tarayıcı uzantılarının kullanılmasını gerektiren siber saldırılar hakkında alarm verdi.
Uyarı aynı zamanda ABD Hazine Bakanlığı’nın Kuzey Kore’nin stratejik önceliklerini desteklemeyi amaçlayan kötü niyetli siber faaliyetlere ve bağış toplama planlarına karışan dört kuruluşa ve bir kişiye karşı uyguladığı yaptırımları da takip ediyor.