Microsoft tehdit avcıları, silahlı açık kaynaklı yazılımların kullanımını içeren, Kuzey Kore hükümeti destekli bir bilgisayar korsanlığı grubu tarafından başlatılan yeni bir kimlik avı kampanyası keşfetti. Kötü amaçlı yazılım, veri hırsızlığı, casusluk, ağ kesintisi ve finansal kazançlar dahil olmak üzere kapsamlı yeteneklerle donatılmıştır.
Kimlik Avı Kampanyasında Kullanılan Bilinen Yazılımlar
Yeni kampanyada bilgisayar korsanları ünlü açık kaynaklı yazılımları silahlandırıyor ve birincil hedefleri havacılık, medya, BT hizmetleri ve savunma sektörlerindeki kuruluşlar.
Microsoft Perşembe günü yayınladığı raporunda, bilgisayar korsanlarının ZINC adlı kötü şöhretli Lazarus hack grubunun bir alt bölümü olduğunu belirtti. Bu grup, KiTTY, Sumatra PDF Reader, PuTTY ve muPDF/Subliminal Recording yazılım yükleyicileri de dahil olmak üzere çeşitli açık kaynaklı uygulamalara şifreli kod enjekte etti ve sonunda ZetaNile olarak casus kötü amaçlı yazılımların yüklenmesine yol açtı.
Bilginize, ZINC, 2014 yılında son derece yıkıcı Sony Pictures Entertainment uzlaşmasını başarıyla yürüten grupla aynı gruptur.
LinkedIn Hedefleri Çekmek İçin Suistimal Edildi
Araştırmacılar, saldırganları hedef aramak için LinkedIn ağ portalını kötüye kullanan son derece tehlikeli, operasyonel ve sofistike ulus devlet aktörleri olarak nitelendirdi. Dolandırıcılar, seçtikleri kuruluşların çalışanlarına bağlanmak ve onlarla arkadaş olmak için ağı kullanır. Hedefleri Hindistan, Rusya, İngiltere ve ABD’de bulunuyor.
Kampanya, Haziran 2022’de başladı ve ZINC, sohbeti WhatsApp’a geçmeden önce bireyleri aramak ve onlarla bağlantı kurmak ve onların güvenini kazanmak için geleneksel sosyal mühendislik taktiklerini kullandı. Bu başarıldığında, kötü niyetli yükleri teslim ederler.
LinkedIn’in tehdit önleme ve savunma ekibi, önde gelen medya, savunma ve teknoloji firmalarında çalışan işe alım görevlilerini taklit eden Kuzey Koreli aktörler tarafından oluşturulan sahte profilleri tespit ettiğini doğruladı. Hedefleri LinkedIn’den uzaklaştırmak ve onları WhatsApp’a taşımak istiyorlar.
LinkedIn’in 2016’dan beri Microsoft Corporation’a ait olduğunu belirtmekte fayda var.
Ek Metodolojisi Açıklandı
Microsoft Güvenlik Tehdit İstihbaratı ve LinkedIn Tehdit Önleme ve Savunma tarafından ortak bir blog gönderisine göre, truva atına dönüştürülmüş KiTTY ve PuTTY uygulamaları, diğerlerine değil, yalnızca seçilen hedeflere kötü amaçlı yazılım bulaşmasını sağlamak için akıllı bir taktik kullanır.
Bunu başarmak için uygulama yükleyicileri kötü amaçlı kod yürütmez. Kötü amaçlı yazılım, yalnızca uygulamalar belirli bir IP adresine bağlandığında ve sahte işe alım görevlileri tarafından hedeflere verilen oturum açma bilgilerini kullandığında yüklenir.
Tehdit aktörleri, bu anahtar 0CE1241A44557AA438F27BC6D4ACA246 komuta ve kontrol için sunulduğunda, ikinci aşama bir yükü yüklemek ve şifresini çözmek için DLL arama emri kaçırmayı da kullanır.
C2 sunucusuyla bağlantı kurulduğunda ek kötü amaçlı yazılım yüklenir. Her iki uygulama da aynı şekilde çalışır. Benzer şekilde, TightVNC Viewer, kullanıcı uygulamadaki uzak ana bilgisayarların açılır menüsünden ec2-aet-tech.w-adaamazonaws’ı seçtikten sonra son yükü yükler.
Microsoft, yasal yazılım ürünlerinin kapsamlı kullanımı ve kullanımı göz önüne alındığında, siber güvenlik topluluğunu bu tehdide dikkat etmeye çağırıyor. Ayrıca, birden fazla bölge ve sektördeki kullanıcıları ve kuruluşları tehdit eder.
Daha Fazla NK Hacker Haberi
- Kuzey Koreli Hackerlar BT Çalışanı Olarak Poz Veriyor
- Kuzey Kore Siber Tehdidi Ne Kadar Kötü?
- NK bilgisayar korsanları kripto borsalarından 1,7 milyar dolar çaldı
- Lazarus, kripto için AppleJeus MacOS kötü amaçlı yazılımını kullanıyor
- LAZARUS Blockchain’i Hedeflemek için TraderTraitor Kötü Amaçlı Yazılımını Kullanıyor