Microsoft, CYBERWARCON’da Kuzey Koreli ve Çinli Hackerlar Hakkında İstihbaratı Paylaşıyor


Microsoft, CYBERWARCON'da Kuzey Koreli ve Çinli Hackerlar Hakkında İstihbaratı Paylaşıyor

Microsoft Tehdit İstihbaratı analistleri, bu yılki CYBERWARCON’da Kuzey Kore ve Çin’deki bilgisayar korsanlığı faaliyetleri hakkında çığır açan araştırmalar sunarak yıllardır süren tehdit aktörü takibi, altyapı izleme ve saldırgan araçları analizine ışık tutuyor.

“Kuzey Kore – Tamamen Büyümüş” sunumu, Kuzey Kore’nin son on yılda gelişen bilgisayar ağı kullanma yeteneklerine odaklanıyor.

Hizmet Olarak SIEM

Kuzey Koreli tehdit aktörleri milyarlarca dolarlık kripto para birimini başarıyla çaldı. Birden fazla sıfır gün istismarı geliştirdiler ve kullandılar.

Bu tehdit aktörleri bile kripto para birimi, blockchain ve yapay zeka teknolojisinde uzman haline gelmiş durumda.

Kuzey Kore, ABD ve diğer ülkeler tarafından dayatılan mali engelleri aşmanın yollarını buldu:

  • Kuzey Koreli BT çalışanlarının Rusya, Çin ve diğer ülkelerde görevlendirilmesi.
  • Bu işçiler meşru BT işlerini gerçekleştirmek için Kuzey Koreli olmayan bireyler gibi davranıyorlar.
  • Bu çalışmadan elde edilen gelir, Kuzey Kore’nin silah programlarının finansmanına yardımcı oluyor.

Microsoft, Kuzey Koreli tehdit aktörlerinin öncelikle silah programlarını, silah sistemleriyle ilgili bilgileri, yaptırımları ve politika kararlarını finanse etmek için kripto para birimini ve finansal hırsızlığı hedef aldığını gözlemledi.

Bunun dışında silah programları için gelir elde etmek amacıyla BT çalışmalarını da hedefliyorlar.

Microsoft’un “Geride hedef kalmadı” sunumu, istihbarat toplama konusunda uzmanlaşmış Çinli tehdit aktörü Storm-2077’yi tanıtıyor. Bu aktör şunları hedefliyor: –

  • Devlet kurumları
  • Sivil toplum kuruluşları
  • Savunma Sanayi Üssü (DIB)
  • Havacılık sektörü
  • Telekomünikasyon endüstrisi
  • Mali ve hukuki hizmetler

KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın

Belirli Kuzey Kore Tehdit Aktörleri

Safir Karla karışık yağmur

Bu aktör en az 2020’den beri aktif olup kripto para hırsızlığı ve ağ istismarına odaklanıyor. Yöntemleri şunları içerir:

  • Hedeflerle çevrimiçi toplantılar düzenlemek için risk sermayedarları gibi görünmek.
  • LinkedIn gibi profesyonel platformlarda işe alım uzmanı olarak poz vermek.
Sahte işe alım uzmanlarının LinkedIn profilleri (Kaynak- Microsoft)

Yakut Karla karışık yağmur

2020’den bu yana aktif olan Ruby Sleet, kimlik avı operasyonunun karmaşıklığını önemli ölçüde artırdı:

  • Kötü amaçlı yazılımları meşru ancak güvenliği ihlal edilmiş sertifikalarla imzalamak.
  • Arka kapılı VPN istemcilerinin ve diğer yazılımların dağıtımı.
  • Belirli hedefler için özel yetenekler geliştirmek.

Kuzey Koreli BT çalışanları “Üçlü Tehdit”tir ve tüm bu çalışanlar aşağıdaki nedenlerle önemli bir risk oluşturmaktadır: –

  1. Meşru BT çalışmaları aracılığıyla rejim için para kazanın.
  2. Potansiyel olarak hassas fikri mülkiyet haklarına ve ticari sırlara erişin.
  3. Hassas şirket verilerini çalabilir ve fidye isteyebilir.
Kuzey Kore BT çalışanı ekosistemi (Kaynak- Microsoft)

Kuruluşlar, Kuzey Koreli BT çalışanlarının belirlenmesi konusunda ABD devlet kurumlarının rehberliğini takip ederek kendilerini korumak için birkaç adım atabilir.

İK ve işe alma yöneticilerini potansiyel Kuzey Koreli BT çalışanlarının işaretleri konusunda eğitin ve hatta uzaktan çalışma etkileşimleri sırasında basit doğrulama tekniklerini uygulayın.

Kuzey Kore ve Çin’den gelen siber tehditler gelişmeye devam ederken Microsoft’un CYBERWARCON 2024’teki sunumları, bu gelişmiş tehdit aktörlerinin kullandığı taktikler, teknikler ve prosedürler hakkında önemli bilgiler sağlıyor.

SOC/DFIR Ekiplerinden misiniz? – ANY.RUN ile Kötü Amaçlı Yazılımları ve Kimlik Avını Analiz Edin -> Ücretsiz Deneyin



Source link