Siber suç grubu Kimsuky, Kuzey Kore hükümetini desteklemek için istihbarat toplamayı ve kripto para birimini çalmayı ve aklamayı amaçlayan “alışılmadık derecede agresif” sosyal mühendislik saldırıları gerçekleştiren tam teşekküllü, kalıcı bir tehdide dönüştü.
Mandiant’tan araştırmacılar, bugün yayınlanan bir raporda ABD, Güney Kore ve Japonya’daki hedeflere yönelik bir dizi hızlı ateş saldırısında APT43 olarak adlandırdıkları grubun faaliyetlerinde bir dizi değişikliği izlediler.
Thallium adıyla da izlenen Kimsuky, 2018’den bu yana çeşitli araştırmacıların radar ekranlarında yer alıyor ve önceki etkinliği geniş çapta rapor ediliyor. Daha önceki saldırılarda, grup esas olarak araştırma kurumlarına, jeopolitik düşünce kuruluşlarına ve – özellikle salgının en yoğun olduğu dönemde – ilaç şirketlerine karşı siber casusluk yapmaya odaklanmıştı.
Grup, kullanıcıları cezbetmek için genellikle hedef odaklı kimlik avı kampanyaları kullandı ve ardından, genellikle Android tabanlı akıllı telefonlar olan hedeflenen cihazlara casus yazılım da dahil olmak üzere çeşitli genel ve genel olmayan kötü amaçlı yazılımları yükledi. Aslında, Kimsuky’nin bu ayın başlarında, Koreler arası çatışma hakkında araştırma yapan kişileri hedef almak için kötü amaçlı Chrome tarayıcı uzantılarından ve Android uygulama mağazası hizmetlerinden yararlandığı tespit edildi.
Ancak şimdi, Mandiant araştırmacıları APT43’ün çeşitli şekillerde geliştiğini keşfettiler.
Yeni Mali ve Sosyal Taktikler
Araştırmacılara göre, grup şu anda diğer Kuzey Kore APT’lerini takip ediyor ve kripto para çalmak için salt siber casusluğun ötesine geçiyor. APT43, diğer grupların yaptığı gibi, haksız yere elde edilmiş parayı Kim Jong-un rejimini finanse etmek için kullanmanın yanı sıra, kendi faaliyetlerini desteklemek için de kullandığını söylediler.
Grup, kriptoyu meşru bulut madenciliği hizmetleri aracılığıyla aklamak için ekstra bir adım bile atıyor, bu nedenle temiz bir para birimi olarak ortaya çıkıyor ve izlenmesi zor – diğer gruplar tarafından kullanılabilecek, ancak şimdiye kadar gözden kaçan bir faaliyet. dedi araştırmacılar.
Google Cloud’da Mandiant baş analisti olan Michael Barnhart, “Paraların yıkanması ve” nasıl “denklemin eksik parçası oldu” diyor. “APT43’ün, farklı kripto para birimleri için madencilik yaparak bu fonları aklamak için özel hash kiralama hizmetleri kullandığına dair göstergelerimiz var.”
Küçük bir ücret karşılığında bu hizmetler, APT43’ün alıcının orijinal ödemeleriyle herhangi bir blok zinciri tabanlı ilişkilendirme olmadan alıcı tarafından seçilen bir cüzdanda kripto para madenciliği yapmak için kullandığı hash gücü sağlar. Araştırmacılar, bunun APT’nin farklı bir kripto para birimi için madencilik yapmak için çalınan fonları kullanmasına izin verdiğini söyledi. Barnhart, çok az harcama yaparak, tehdit aktörlerinin dilediklerini yapmak için izlenmeyen, temiz para birimiyle uzaklaştığını açıklıyor.
Ayrıca, araştırmacılar, APT43’ün – teknolojik olarak karmaşık olmasa da – tehdit aktörlerinin ikna edici sahte karakterler yarattığı ve kötü amaçlı yazılım kullanmadan birkaç hafta boyunca hedeflerle ilişki kurma konusunda sabır gösterdiği gelişmiş ve kalıcı sosyal mühendislik taktiklerine dayandığını söyledi.
Barnhart, “Bu tür yeni tekniklerle bu kadar başarılı bir APT görmemiştim” diyor. “Konunun uzmanı veya muhabiri gibi davranıyorlar ve – genellikle bir raporda veya haber makalesinde kurbandan alıntı yapma vaadiyle – hedefe yönelik sorular soruyorlar ve başarılı bir şekilde geri bildirim alıyorlar.”
Araştırmacılar, gerçekten de bazı durumlarda saldırganların hedeflenen kurbanları, kötü amaçlı yazılım dağıtmadan tescilli, jeopolitik analiz ve araştırma göndermeye başarılı bir şekilde ikna ettiğini söyledi.
Barnhart, bu durumun çoğu tehdit grubu için standart prosedürden saptığını ve APT43’ün kötü amaçlı yazılım oluşturmak için çok az çaba veya kaynak harcamasına ve aradıkları bilgileri düşük bir şekilde kurbanlardan yalnızca isteyerek elde etmesine olanak tanıdığını belirtiyor Barnhart.
Yüksek Hacimli Siber Saldırılar, Değişen Hedefler
Mandiant’a göre APT43, Kuzey Kore hükümetinin taleplerine ve grubun gerektirdiği siber casusluk faaliyetlerine yanıt olarak yıllar içinde kampanyalarda hedeflerini ve kullandığı kötü amaçlı yazılımları değiştirdi.
Araştırmacılar raporda, “APT43 nihai olarak, rejimi desteklemek için gerektiğinde finansal saikli siber suçlar gerçekleştirmek de dahil olmak üzere hedefleme ve taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) sponsorlarına uyacak şekilde değiştiriyor.”
Örneğin, Ekim 2020’den önce grup, öncelikle ABD ve Güney Kore devlet dairelerini, diplomatik kuruluşları ve Kore yarımadasını etkileyen dış politika ve güvenlik meselelerinde çıkarı olan düşünce kuruluşlarıyla ilgili varlıkları hedef aldı. Ancak önümüzdeki yıl boyunca grup, Güney Kore, ABD, Avrupa ve Japonya’daki sağlıkla ilgili sektörleri ve ilaç şirketlerini hedef alarak odak noktasını Kuzey Kore’deki COVID-19 müdahale çabalarına kaydırdı.
Mandiant’ın baş analisti Joe Dobson, grup ile diğer Kuzey Koreli tehdit aktörleri arasında ortaya çıkan dikkate değer bir farkın, “saldırıların hızı ve hacmine” dayalı olarak “gündelik kullanıcıları” hedef alan genişlemeye yönelik yakın tarihli bir değişim olduğunu söylüyor.
“Saldırılarını binlerce olmasa da yüzlerce kurbana yayarak, faaliyetleri büyük bir hedefi vurmaktan daha az fark edilir ve takip edilmesi daha zor hale geliyor” diyor. “Uygulama hızları, başarı oranlarıyla birleştiğinde endişe verici.”
Araştırmacılar, APT43’ün yüksek hacimli faaliyetlerini ABD, Güney Kore ve Japonya’daki jeopolitik ve nükleer politikayla ilgili eğitim ve araştırma alanındaki hükümet, ticari hizmetler ve imalat alanındaki kurum ve kuruluşların yanı sıra düşünce kuruluşları ve kuruluşlarda hedeflediğini söyledi. .
Barnhart, gelişmiş sosyal mühendislik taktikleri ve hem belirli bireylerin hem de daha geniş ağ hedeflerinin peşine düşme eğilimi göz önüne alındığında, araştırmacıların risk altında olabilecek kuruluşlara çalışanlarıyla “siber hijyen konusunda daha iyi bir anlayış ve artan farkındalık” paylaşmalarını tavsiye ettiğini söylüyor. Barnhart, “Personeli bu tehdit aktörünün TTP’lerinden haberdar etmek önemlidir” diyor.
APT’nin sahte e-postalarının son derece inandırıcı olduğunu ve bunun da bilgili kullanıcılar için bile fark edilmelerini zorlaştırdığını ekliyor; bu nedenle, risk altındaki kuruluşlar yüksek alarm durumunda olmalıdır.