Kuzey Koreli bilgisayar korsanlarının kuruluşlara sızmak için LinkedIn’i bir giriş noktası olarak kullanmasını içeren önemli bir siber güvenlik tehdidi.
Bu saldırı, özellikle yetkisiz erişim vakalarında önemli bir artışın olduğu ve önemli mali kayıplara yol açan Japonya’da belirgindir.
Son zamanlarda Federal Soruşturma Bürosu (FBI), Savunma Bakanlığı Siber Suç Merkezi (DC3) ve Japonya Ulusal Polis Teşkilatı (NPA), Japonya’dan 308 milyon dolar değerindeki kripto para biriminin çalınmasına ilişkin kamuoyuna bir uyarı yayınladı. merkezli kripto para birimi şirketi DMM, Mayıs 2024’te Kuzey Koreli siber saldırganlar tarafından saldırıya uğradı.
Hırsızlık, Jade Sleet, UNC4899 ve Slow Pisces olarak da bilinen TraderTraitor tehdit faaliyetiyle ilişkilendirildi.
Lazarus Grubu ve LinkedIn İstismarları
Saldırılar öncelikle Kuzey Kore ile bağlantılı kötü şöhretli bir bilgisayar korsanlığı topluluğu olan Lazarus Grubuna atfediliyor. JPCERT/CC, yaklaşık 2019’dan bu yana LinkedIn’in enfeksiyon vektörü olarak kullanıldığı çok sayıda olayı belgeledi.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
JPCERT’e göre bu saldırıların doğası, LinkedIn’in iş amacıyla kullanılmasının tehlikeli olabileceğini ve kuruluşların iş cihazlarındaki sosyal ağ hizmetlerine (SNS) ilişkin politikalarını yeniden gözden geçirmesine yol açabileceğini gösteriyor.
Dünya çapında savunma sanayi şirketlerini hedef alan Dream Job Operasyonu gibi çeşitli Lazarus Grubu faaliyetleri.
Saldırganlar, savunma yüklenicilerindeki İK temsilcilerinin meşru LinkedIn hesaplarını ele geçiriyor ve işe alım teklifleriyle çalışanlara ulaşıyor.
İletişimi sıklıkla LinkedIn’den Skype veya WhatsApp gibi platformlara kaydırıyorlar ve sonunda hedefleri işle ilgili materyaller gibi görünen kötü amaçlı belgeleri indirmeye ikna ediyorlar.
Tehlikeli Şifre Operasyonu kampanyası 2019’dan beri aktif ve kripto para borsalarına odaklanıyor. Saldırganlar çalışanlarla LinkedIn aracılığıyla iletişim kurarak onları kötü amaçlı yürütülebilir dosyalar içeren ZIP dosyalarını indirmeye teşvik ediyor.
Yöntemler farklı işletim sistemlerini ve dosya türlerini hedef alacak şekilde geliştirilmiş olmasına rağmen, bu ZIP’lerdeki kötü amaçlı LNK dosyasının adı yıllar içinde tutarlı kalmıştır (örneğin, Password.txt.lnk).
AppleJeus Operasyonu, sosyal mühendislik taktiklerinden yararlanarak kripto para birimi kullanıcılarını hedef alıyor.
Saldırganlar, LinkedIn aracılığıyla iletişim kuruyor ve kurbanları, kripto para birimi değişim araçları gibi görünen kötü amaçlı MSI dosyalarının bağlantılarını paylaştıkları Telegram’a yönlendiriyor.
Kuzey Kore kaynaklı siber tehditlerin yükselişi, kuruluşların sosyal medya politikalarını ve siber güvenlik protokollerini yeniden değerlendirmeleri gerekliliğinin altını çiziyor.
Lazarus Group’un çeşitli operasyonlarında da görüldüğü gibi, saldırganlar yöntemlerinde giderek daha sofistike hale geliyor ve LinkedIn gibi platformları kötü amaçlarla kullanıyor.
Bu nedenle işletmelerin sosyal ağ platformlarıyla ilgili risklerin farkında olmaları ve dijital varlıklarını korumak için proaktif adımlar atmaları çok önemlidir.
Jenkins & Jira’yı Kullanarak Uygulama Güvenliğini CI/CD İş Akışlarınıza Entegre Etme -> Ücretsiz Web Semineri