Siber savaş / ulus-devlet saldırıları, dolandırıcılık yönetimi ve siber suç, Geo Focus: Asya
Nation-State Group, atıftan kaçmak için güvenli VPN’ler ve Rusya merkezli vekilleri kullandı
Jayant Chakravarti (@Jayjay_tech) •
4 Şubat 2025
Siber Güvenlik Şirketi SecurityScorecard’daki araştırmacılar Siber Temsilci Kampanyasını ortaya çıkardı – Phantom Operasyonu Dairesi olarak adlandırdılar – ve Kuzey Kore grubuna atfettiler. Grup, 233 kurbanın cihazını küresel olarak enfekte etmek ve çalınan verileri Pyongyang merkezli sunuculara aktarmak için Ocak başından beri operasyonu gerçekleştirdi.
Ayrıca bakınız: APJ’de Siber Güvenliğin Geleceği
Operasyon, kötü niyetli kodları implante eden saldırganlarla başladı ve yazılım geliştiricilerini tehlikeye atılan paketleri yürütmeye kandırmak için kripto para birimi uygulamaları, kimlik doğrulama çözümleri ve diğer platformlar için meşru yazılım paketlerine gizlendi. Bir kurban bir paket gerçekleştirdikten sonra, kötü amaçlı yazılım tehlikeye atılan cihazdaki verileri yakaladı ve bunu bir komut ve kontrol veya C2, 1224 bağlantı noktasının üzerindeki sunucuya soktu.
Siber güvenlik şirketi tarafından birden fazla C2 sunucusunun analizi, her sunucunun bir React uygulaması ve Node.js API ile oluşturulan Web tabanlı bir yönetim platformunu barındırdığını ortaya koydu. Platform, C2 sunucularını yönetmek, püskürtülmüş verileri düzenlemek ve yük dağıtımını ve diğer işlemleri kontrol etmek için merkezi bir merkez kullanmak için operasyonel bir altyapı görevi gördü.
Siber temsilci operasyonu, Lazarus Grubu tarafından en az Eylül ayından bu yana, serbest Web3 ve kripto para birimi çalışmasını arayan yazılım geliştiricilerini hedeflemek için benzer bir operasyonu izledi. Grup, geliştiricileri sistemlerine kötü amaçlı yazılım enjekte eden kötü amaçlı GitLab depolarını klonlamaya teşvik etmek için sahte iş teklifleri ve çevrimiçi işe alım platformları kullandı. Güvenlik Saklığı, 99 Operasyonu, “Aldatma, Sofistike ve kötü niyetli niyette masterclass” olarak adlandırılan işlem olarak adlandırdı.
Phantom Operasyonu devresi sırasında Lazarus Grubu, C2 sunucularına bağlanmak için Rusya’da kayıtlı bir proxy IP adresleri ağı kullanarak kampanyaya katılımını gizlemeye çalıştı. Grubun operatörleri ilk olarak Astrill VPN’ye bağlandı ve Rusya’nın Hasan’daki Sky Freight Limited’e kayıtlı bir ara proxy katmanı boyunca trafiği taşımak için yeni oturumlar başlattı.
Araştırmacılar, Stark Industries sunucularında barındırılan C2 altyapısı ile iletişim kurmak için bu rotayı kullanan en az altı Kuzey Kore IP adresi belirlediler. Bu sunucuların her biri, yük dağıtımını, veri sızdırmasını ve mağdur yönetimini kolaylaştıran Web tabanlı React uygulamasını barındırdı.
Araştırmacılar, siber başlık kampanyasının Kasım ve Ocak ayları arasında sürdüğünü ve Lazarus Grubunun, atıftan kaçınmak için üst üste binen zaman çizelgeleri, coğrafi olarak dağıtılmış vekiller ve güvenli VPN kanallarını kullandığını söyledi. Aralık ve Ocak aylarında, saldırganların C2 sunucularının birçoğu da birden fazla Dropbox IPS’ye bağlandı, bu da grubun pesfiltrated verileri bir Dropbox konumuna aktarmayı seçtiğini gösteriyor.
Ocak ayında, grup Astrill VPN çıkış puanları, Kuzey Kore IP adreslerinden trafiği 94.131.9.32 IP adresi ile yeni kurulmuş bir sunucuya yönlendirmek için kullandı. Araştırmacılar, bu sunucuya önemli trafik aktığında 21-23 Ocak tarihleri arasında zirve faaliyetini kaydetti ve 110 tanesi Hindistan’da bulunan 233 benzersiz kurbanın verisini taşıyorlardı.