Lazarus’un Şemsiyesi Altında Altı Kuzey Kore Tehdit Grubu


Lazarus'un Şemsiyesi Altında Altı Kuzey Kore Tehdit Grubu

Lazarus Grubu, Kuzey Kore tarafından devlet destekli olduğuna inanılan, ülkenin istihbarat teşkilatıyla bağlantılı, kötü şöhretli bir APT hacker grubudur.

Bu grup en az 2009’dan beri çok çeşitli siber suç faaliyetlerinde bulunuyor ve finans kuruluşları, şirketler ve kritik altyapılar gibi çeşitli hedeflere yönelik karmaşık saldırılarıyla tanınıyor.

DÖRT

Palo Alto Networks’teki siber güvenlik araştırmacıları yakın zamanda Lazarus grubu çatısı altında altı Kuzey Koreli tehdit grubu tespit etti.

Aşağıda bu altı grubun hepsinden bahsettik:

  • Baştan çıkarıcı Balık (Bluenoroff) [PDF])
  • Parlayan Balık (Sitrin Karlısı)
  • Sinirli Balık (Andariel)
  • Seçici Balık (TEMP.Hermit) [PDF])
  • Yavaş Balık (TraderTraitor)
  • Parıldayan Balık (Kimsuky)

Kuzey Koreli Hackerlar Lazarus’la

Kuzey Koreli siber tehdit gruplarının, Keşif Genel Bürosu (RGB) altında faaliyet gösterdiği ve Windows, macOS ve Linux gibi tüm büyük platformlarda gelişmiş bir kötü amaçlı yazılım cephaneliği kullandığı tespit edildi.

Uyumluluğun Kodunu Çözme: CISO’ların Bilmesi Gerekenler – Ücretsiz Web Seminerine Katılın

Dikkat çekici örnekler şunlardır:

  • Paslı Kova: AppleScript, Swift/Objective-C ve Rust kullanan üç aşamalı bir macOS arka kapısı.
  • KANDYKORN: Kalıcılık için Python betikleri, SUGARLOADER ve HLOADER kullanan beş aşamalı bir macOS enfeksiyon zinciri.
  • OdicYükleyici: Unicode karakteri U+2024’ü kullanarak PDF gibi görünen bir Linux ELF indiricisi.
  • KoleksiyonRAT: Microsoft Foundation Class kitaplığını kullanan bir Windows Uzaktan Yönetim Aracı (RAT).

Bu kötü amaçlı yazılım aileleri, yansıtıcı yükleme, çok aşamalı yükler ve şifreli komuta ve kontrol (C2) iletişimi gibi gelişmiş teknikler sunar.

Örneğin, Comebacker, C2 için rastgele oluşturulmuş parametre adlarına sahip HTTP POST isteklerini kullanırken, PondRAT hem macOS hem de Linux sistemlerini hedefliyor.

Kötü amaçlı yazılım ekosistemi, “ObjCShellz” (bir Objective-C arka kapısı) ve “Fullhouse” (bir C/C++ HTTP arka kapısı) gibi özel araçları içerir.

RGB kapsamındaki Kuzey Kore tehdit gruplarının hem Birim 42 isimlerini hem de diğer akaları gösteren organizasyon şeması (Kaynak – Palo Alto Networks)

Bunun dışında, Alluring Pisces (APT38), Gleaming Pisces ve Selective Pisces (ZINC) gibi gruplar, “2014 Sony Pictures hack’i” ve “2017 WannaCry fidye yazılımı kampanyası” da dahil olmak üzere yüksek profilli saldırılar gerçekleştirdiler.

Tartışılan kötü amaçlı yazılım aileleri arasında Uzaktan Erişim Truva Atları (RAT’ler), tuş kaydediciler, arka kapılar ve bilgi hırsızları yer alıyor.

Palo Alto, devlet destekli siber faaliyetlerin sıklıkla kritik altyapı, finansal ve hükümet hedeflerine odaklandığını belirterek, kuruluşların kapsamlı siber stratejiler geliştirmesinin önemli olduğunu söyledi.

Azaltma önlemleri

Aşağıda tüm hafifletme önlemlerinden bahsettik:

  • Periyodik güvenlik değerlendirmelerini dahil edin.
  • Periyodik incelemeler yapın.
  • Güçlü uç nokta çözümlerine ve korumasına sahip olmalısınız.
  • Veri ağlarına fiziksel bariyerler yerleştirin.
  • Çoklu şema desteğinin olduğundan emin olun.
  • Ayrıca personelin güvenlik konularında sürekli olarak eğitilmesi gerekmektedir.

Hepsi Bir Arada Siber Güvenlik Platformuyla Siber Saldırı Senaryolarını Simüle Etme – Ücretsiz Web Seminerini İzleyin



Source link