Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
Pyongyang’lı Tehdit Aktörü Para ve Bilginin Peşinde
Prajeet Nair (@prajeetspeaks) •
28 Mayıs 2024
Microsoft araştırmacıları “Moonstone Sleet” olarak izledikleri bir grubun profilinde, Kuzey Koreli bir bilgisayar korsanlığı grubunun nakit sıkıntısı çeken Pyongyang rejimi için para kazanmak ve ekmek parası siber casusluk yapmak istediğini söylüyorlar.
Ayrıca bakınız: Canlı Web Semineri | Dijital Doppelgängers: Deepfake Teknolojisinin İkili Yüzü
Daha önce Redmond tarafından Storm-1789 olarak takip edilen bilgisayar korsanlığı grubu, yazılım geliştirme istihdamının peşine düştü; bu, Batılı şirketlerin uzaktan çalışma ve personel bulma ajansı istihdamının artmasıyla birlikte boğuştuğu bir sorun. ABD federal savcıları, bu ayın başlarında, Kuzey Kore vatandaşları ile Amerikan şirketleri arasında aracılık yaptığı iddia edilen iki kişiye karşı iddianameyi açıkladı (bkz: ABD FBI, Kuzey Koreli BT Çalışanı İstihdam Dolandırıcılığını Yakaladı).
Moonstone Sleet bilgisayar korsanları, Microsoft’un “FakePenny” olarak adlandırdığı yeni bir özel fidye yazılımı çeşidini dağıttı. Grup, kötü niyetli olarak dosyaları şifreleyen ve gasp talep eden ilk Hermit Kingdom hack grubu değil, ancak oranları önceki örneklerden daha yüksek görünüyor. Microsoft, bir vakada bilgisayar korsanlarının 6,6 milyon dolarlık bitcoin talep ettiğini söyledi.
Kuzey Kore’nin kâr amaçlı hackleme konusunda köklü bir geçmişi var. Birleşmiş Milletler’in, ülkenin kitle imha silahlarının geliştirilmesine yönelik olarak yaklaşık 3 milyar doları çalmak amacıyla 2017 ile 2023 yılları arasında 58 siber saldırı düzenlediğinden şüphelendiği bildiriliyor.
Moonstone Sleet’in taktik, teknik ve prosedür cephaneliği, diğer Kuzey Koreli tehdit aktörlerininkilerle önemli ölçüde örtüşüyor. Başlangıçta aktör, kuruluşlara erişim sağlamak için kod ve teknikleri yeniden kullanarak Lazarus Grubu olarak da bilinen Diamond Sleet ile benzerlikler sergiledi.
Moonstone Sleet o zamandan beri kendi altyapısını ve saldırılarını geliştirerek kendisini farklı ve iyi kaynaklara sahip bir tehdit aktörü olarak kanıtladı.
Ağustos ayı başlarında Moonstone Sleet, LinkedIn ve Telegram gibi platformlar aracılığıyla PuTTY’nin Truva atı haline getirilmiş bir sürümünü sunmaya başladı. Aktör hedeflere gönderdi .zip Truva atı haline getirilmiş bir sürümünü içeren arşiv putty.exe ve IP adresi ve şifre içeren bir URL. Kullanıcılar bu ayrıntıları girdiğinde uygulama, yerleşik bir verinin şifresini çözüp çalıştırdı ve çok aşamalı bir kötü amaçlı yazılım yürütme sürecini başlattı.
Moonstone Sleet ayrıca serbest çalışan web siteleri veya LinkedIn gibi platformlar aracılığıyla gönderilen kötü amaçlı npm paketleri aracılığıyla potansiyel kurbanları da hedef aldı. Bir keresinde aktör sahte bir şirket kullanarak mesaj gönderdi. .zip Teknik beceri değerlendirmesi olarak gizlenen kötü amaçlı bir npm paketi içeren dosyalar. Bu paket, aktör tarafından kontrol edilen bir IP’ye bağlandı ve SplitLoader gibi ek kötü amaçlı yükleri düşürdü.
Moonstone Sleet, DeTankWar adlı kötü amaçlı bir tank oyunu kullanarak cihazlara bulaştı. Aktör, yatırım veya geliştirici desteği arayan bir oyun geliştiricisi gibi davranarak hedeflere mesajlaşma platformları veya e-posta yoluyla yaklaştı. Oyun başlatıldığında, ağ ve kullanıcı keşfini ve tarayıcı verilerinin toplanmasını kolaylaştıran özel kötü amaçlı yazılım yükleyicisi YouieLoad’u çalıştırarak ek kötü amaçlı DLL’ler yükledi.
Tehdit aktörü, yazılım ve bilgi teknolojisi, eğitim ve savunma sanayii tabanı gibi sektörleri hedef aldı. Grup, hedeflerini ilerletmek için çalıntı kimlik bilgilerini ve fikri mülkiyeti kullanarak bir savunma teknolojisi şirketi ile bir drone teknolojisi şirketini tehlikeye attı.
Moonstone Sleet’in arkasındaki operatörler, özellikle blockchain ve yapay zeka alanında yazılım geliştirme ve BT hizmetlerini taklit ederek birçok sahte şirket kurdu.
E-posta kampanyaları ve sosyal medya aracılığıyla potansiyel hedeflerle iletişim kurmak için StarGlow Ventures ve CCWaterfall gibi sahte şirketleri kullandı.
Ocak ayından Nisan ayına kadar Kuzey Koreli bilgisayar korsanları, eğitim ve yazılım geliştirme sektörlerindeki kuruluşları hedef alarak meşru bir yazılım geliştirme şirketi gibi görünmek için StarGlow Ventures’ı kullandı.
Aktör, meşruiyet kazandırmak için özel bir alan adı, sahte çalışan kimliği ve sosyal medya hesapları kullandı.
Benzer bir kampanyada Moonstone Sleet, sözde bir BT danışmanlık kuruluşu olan CCWaterfall’ı, yeni geliştiricileri işe aldığını veya iş birliği fırsatları aradığını iddia ederek yüksek öğrenim kuruluşlarına e-posta göndermek için kullandı. Ayrıca DeTankWar’ı dağıtmak için CCWaterfall markasını kullandı.