.jpg)
Kuzey Kore devleti gelişmiş kalıcı tehditleri (APT’ler) gelişiyor: yeni yükler geliştirmek; taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) değiştirmek; ve yeni sektörleri ve bireyleri önyargısız bir şekilde hedeflemek – bu bireylerin kendileri Kuzey Koreli olsalar bile.
Kaspersky, 2023’ün ilk çeyreğine ilişkin APT trendleri raporunda dünya çapında APT etkinliğindeki gelişmeleri vurguladı. Örneğin Rusya’da, motivasyonlardaki bazı önemli farklılıklara rağmen tehdit aktörleri örtüşüyor ve işbirliği yapıyor. Ve İran’da, MuddyWater ve OilRig gibi bilinen gruplar, yeni kampanyalar yürütüyor ve kötü amaçlı yazılımlarını değiştiriyor; ilki özellikle Mısır, Kanada ve Malezya gibi uzak ve geniş ülkelere yayılıyor.
Bu arada, Kaspersky’nin kıdemli güvenlik araştırmacısı David Emm, Güneydoğu Asya’nın “kilit bir gelişme alanı olduğunu” ve “yakın zamanda herhangi bir yavaşlama belirtisi göstermediğini” söylüyor.
Scarcruft ve kötü şöhretli Lazarus Group gibi devlet destekli kuruluşların kötü amaçlı yazılımlarını beklenmedik bazı hedeflerin peşine düşecek şekilde yükselttikleri Kuzey Kore özellikle dikkate değer bir bölgedir. Örneğin Lazarus, Kuzey Kore’nin çıkarlarıyla hemen ilişkilendirilemeyecek ülkelerdeki – örneğin Bulgaristan’daki kuruluşları hedef alırken, Scarcruft Kuzey Korelilere saldırıyor.
Lazarus Grubu Üzerine Bir Güncelleme
Lazarus Group’un en ünlü istismarları artık geçmişte kalmış olabilir, ancak yine de her zamanki kadar aktif.
Örneğin 2022’de grup, DTrack arka kapısını ve diğer istismar sonrası kötü amaçlı yazılımlarını bilimsel araştırma alanındaki kuruluşlara ait ağlara dağıtmak için Log4j krizinden yararlandı: biyomedikal, genetik, toprak bilimleri ve enerji.
Daha yakın bir zamanda, bu Ocak ayında sona eren bir kampanyada grup, açık kaynaklı uzaktan yönetim aracı UltraVNC için arka kapılı bir istemciyi silah haline getirdi. Zombileştirilmiş UltraVNC’si, ana bilgisayar hakkındaki verileri gizlice sızdırırken ve ona Blindincan’ın yepyeni bir sürümünü indirirken, yüzeyde normal çalışıyor gibi görünebilirdi.
Blindincan Lazarus’un dosyaları (diğer şeylerin yanı sıra) okumasını, yazmasını ve silmesini, bir ana bilgisayarın işletim sistemi ve diskleri hakkında bilgi almasını ve daha fazlasını sağlayan bir uzaktan erişim Truva Atı’dır. En yeni sürüm, orijinalin işlevselliğini genişletmek için eklentiler getirdi.
Ocak 2023 kampanyasının analizi şunu önerdi: Blindincan Hindistan’daki imalat ve emlak sektörlerindeki kuruluşlara ve Pakistan ve Bulgaristan’daki telekomünikasyon şirketlerine karşı konuşlandırıldı.
Kuzey Kore’de Başka Neler Oluyor?
Bu arada Kaspersky’nin araştırmacıları, Scarcruft APT’nin son zamanlarda Güneydoğu Asyalı bilgisayar korsanları arasında popüler bir trend olan Go’da yazılmış “SidLevel” adlı yeni bir bilgi hırsızı kullandığını gözlemledi.
Saldırganların komuta ve kontrol C2 sunucularından verilere eriştikten sonra araştırmacılar, yabancı hedeflerden değil, yerel hedeflerden ve yalnızca yerel hedeflerden değil, bireylerden: romancılar, öğrenciler ve Kuzey’den iş adamları gibi çok sayıda çalıntı bilgi buldular. Kore’nin kendisi.
Emm, bir ulus-devlet APT’sinin gücüne karşı tek kişi olmanın zor bir durum olduğunu kabul ediyor, ancak göründüğü kadar alışılmadık bir durum değil.
“Biliyorsunuz, genellikle bir APT kuruluşların peşine düştüğünde, aslında bireylerin de peşine düşer,” diye belirtiyor. Bilgisayar korsanları genellikle büyük bir kuruluşta daha geniş BT altyapısına erişimi olan alt düzey çalışanları hedefler veya doğrudan boğazına giderler: hassas belgelere veya sistemlere ayrıcalıklı erişimi olan üst düzey bir yöneticiye veya yöneticiye hedefli kimlik avı yaparlar.
“Kuruluşlar ve bireyler için anahtar, o kategoride olup olmadığınıza karar vermektir – ilgili kişi olabilirsiniz” diyor. “Öyleyse, gerçekten de ötesini düşünmeniz gerekir. Şüpheli etkinliği tespit edebilmek ve elinizdeki verilere büyük özen göstermek, sıradan bir kişinin yapabileceğinin çok ötesinde olmalıdır.”