Kuzey Kore bağlantılı Lazarus Grubu’nun (diğer adıyla Hidden Cobra veya TEMP.Hermit), Sanal Ağ Bilgi İşlem (VNC) uygulamalarının truva atı haline getirilmiş sürümlerini, savunma endüstrisini ve nükleer mühendisleri hedef almak için tuzak olarak kullandığı gözlemlendi. Rüya İşi Operasyonu.
Kaspersky, 2023’ün üçüncü çeyreğine ilişkin APT trend raporunda, “Tehdit aktörü, sosyal medyada iş arayanları sahte iş görüşmeleri için kötü amaçlı uygulamalar açmaları konusunda kandırıyor.” dedi.
“Davranış tabanlı güvenlik çözümleri tarafından tespit edilmekten kaçınmak için, bu arka kapılı uygulama gizli bir şekilde çalışıyor ve yalnızca kullanıcı Truva Atı haline getirilmiş VNC istemcisinin açılır menüsünden bir sunucu seçtiğinde etkinleşiyor.”
Sahte uygulama, kurban tarafından başlatıldığında, güvenliği ihlal edilmiş ana bilgisayarların profilini çıkarma yetenekleriyle donatılmış olarak gelen LPEClient adlı bilinen bir Lazarus Grubu kötü amaçlı yazılımı da dahil olmak üzere ek yükleri almak üzere tasarlandı.
Ayrıca, düşman tarafından konuşlandırılan, keyfi komutları çalıştırdığı, sistem keşfi yaptığı ve veri sızdırdığı bilinen bir arka kapı olan COPPERHEDGE’in güncellenmiş bir sürümü ve özellikle ilgilenilen dosyaları uzak bir sunucuya iletmek için tasarlanmış özel bir kötü amaçlı yazılımdır.
Son kampanyanın hedefleri arasında radar sistemleri, insansız hava araçları (İHA), askeri araçlar, gemiler, silahlar ve denizcilik şirketleri de dahil olmak üzere savunma üretimiyle doğrudan ilgilenen işletmeler yer alıyor.
Dream Job Operasyonu, Kuzey Kore bilgisayar korsanlığı ekibi tarafından düzenlenen ve potansiyel hedeflerle LinkedIn, Telegram ve WhatsApp gibi çeşitli platformlar aracılığıyla şüpheli hesaplar aracılığıyla, onları kötü amaçlı yazılım yüklemeleri için kandırmak amacıyla kazançlı iş fırsatları sunma bahanesiyle iletişime geçildiği bir dizi saldırıyı ifade ediyor. .
Geçen ayın sonlarında ESET, Lazarus Group’un İspanya’daki isimsiz bir havacılık şirketini hedef alan ve LightlessCan adlı bir implantı teslim etmek üzere LinkedIn’de Meta’ya işe alım uzmanı kılığında gelen tehdit aktörünün şirket çalışanlarına yaklaştığı saldırının ayrıntılarını açıkladı.
Lazarus Grubu, siber casusluk ve mali amaçlı hırsızlıklarla bağlantılı olan, Kuzey Kore kaynaklı birçok saldırı programından yalnızca bir tanesidir.
Bir diğer önde gelen bilgisayar korsanlığı ekibi, APT43, Kimsuky ve Lazarus Group (ve onun alt grupları Andariel ve BlueNoroff) gibi diğer tehdit faaliyeti kümelerinin aksine, Devlet Güvenlik Bakanlığı’nın bir parçası olan APT37’dir (diğer adıyla ScarCruft). Keşif Genel Bürosu (RGB) ile.
Google’ın sahibi olduğu Mandiant bu ayın başlarında yaptığı açıklamada, “Farklı tehdit grupları araçları ve kodları paylaşırken, Kuzey Kore tehdit faaliyetleri, Linux ve macOS dahil olmak üzere farklı platformlar için özel olarak tasarlanmış kötü amaçlı yazılımlar oluşturmak üzere uyum sağlamaya ve değişmeye devam ediyor.” karmaşıklık.
Kaspersky’ye göre ScarCruft, RokRAT (diğer adıyla BlueLight) kötü amaçlı yazılımının yayılmasıyla sonuçlanan yeni bir kimlik avı saldırı zinciri kullanarak Rusya ve Kuzey Kore ile bağlantılı bir ticaret şirketini hedef aldı ve münzevi krallığın Rusya’yı hedeflemeye yönelik devam eden girişimlerinin altını çizdi.
Dahası, Andariel, APT38, Lazarus Group ve APT43 gibi çeşitli Kuzey Koreli bilgisayar korsanlığı ekipleri arasındaki altyapı, araçlar ve hedefleme örtüşmeleri de dikkat çeken bir başka değişikliktir; bu da atıf çabalarını bulanıklaştırıyor ve düşmanca faaliyetlerin düzene sokulduğuna işaret ediyor.
Mandiant, buna aynı zamanda “kripto para birimi ve blockchain endüstrilerindeki yüksek değerli hedeflerin arka kapı platformlarına yönelik macOS kötü amaçlı yazılımlarının geliştirilmesine yönelik artan ilginin” eşlik ettiğini söyledi.