Trend Research, Kuzey Kore ile bağlantılı ve Rus internet altyapısını ağır bir şekilde kullanan siber suç operasyonlarının sofistike bir ağını ortaya çıkardı.
Özellikle, Transtelecom (ASN AS20485) altındaki kuruluşlara atanan Khasan ve Khabarovsk kasabalarındaki IP adresi aralıkları bu faaliyetlerde çok önemlidir.
Kuzey Kore-Rusya sınırından sadece bir mil uzaklıktaki ve Kore-Rusya Dostluk Köprüsü’nden bağlanan Khasan ve Kuzey Kore ile derin ekonomik ve kültürel bağları ile Khabarovsk stratejik merkezler olarak hizmet ediyor.
.png
)
80.237.84.0/24 ve 188.43.136.0/24 dahil olmak üzere bu IP aralıkları, astrill VPN, proxy sunucuları ve uzak masaüstü protokol (RDP) aracılığıyla erişilen çok sayıda sanal özel sunucu (VPS) içeren kapsamlı bir anonimleştirme ağı tarafından gizlenmiştir.
Bu kurulum, boş Dokkaebi saldırı seti (ünlü Chollima olarak da bilinir) ile ilişkili Kuzey Koreli hizalanmış aktörleri sağlayan kötü niyetli trafik orijinlerini maskeliyor.
Trend Research’in telemetrisi, Çin, Rusya ve Pakistan gibi ülkelere yerleştirilen DPRK BT işçileri olan bu aktörlerin, küresel VPS sunucularına bağlanmak için Rusya IP aralıklarını kullandıklarını, Linkedin ve Upwork gibi sosyal mühendislik gibi aktivitelerde bulunduğunu ve laboratuar fonlarına veya boş stolen cüzdanlarına kripto para hizmetleri gibi faaliyetlerde bulunduğunu göstermektedir.
Gelişmiş sosyal mühendislik ve kötü amaçlı yazılım dağıtım
Void Dokebi kampanyaları öncelikle Ukrayna, ABD ve Almanya gibi ülkelerdeki kripto para birimi, Web3 ve blockchain sektörlerinde BT uzmanlarını hedefliyor.
Önemli bir taktik, kurbanları LinkedIn gibi platformlarda sahte iş görüşmeleri yapan Blocknovas gibi hayali şirketleri içeriyor.
Başvuru sahipleri, GitHub gibi depolardan, izole ortamların dışında yürütüldüğünde Beaverail ve Frostyferret kötü amaçlı yazılımlar gibi kötü amaçlı komut dosyaları enjekte eden meşru kodları indirmek için kandırılmıştır.
Bu komut dosyaları, kripto para birimi cüzdanı kimlik bilgileri de dahil olmak üzere hassas veriler çalıyor ve bazı tehlikeye atılan cihazlar, CCProxy gibi araçlar aracılığıyla saldırganların anonimleştirme altyapısına entegre edildi.
Ayrıca, muhtemelen blocknovas hesaplarını kullanan komplocular tarafından oluşturulan anadili olmayan İngilizce metinli öğretim videoları, Hashtopolis gibi araçları kullanarak beaverail komut ve kontrol (C&C) sunucularının ve şifre kırma tekniklerinin kurulumunu detaylandırır.
188.43.33.251 gibi Rus IPS’den RDP oturumlarında kaydedilen bu videolar, daha az vasıflı yabancı suç ortakları ile işbirliği önermektedir.
Trend araştırmaları ayrıca, uzak operasyonlarını gizlemek için dizüstü bilgisayar çiftlikleri aracılığıyla Batı şirketlerine sızan Kuzey Koreli BT işçilerinin bu kampanyaların erişimini daha da artırdığını da not ediyor.
Çıkarımlar ve azaltma stratejileri
2017’den beri faaliyet gösteren ve 2023’ten bu yana genişleyen Rus altyapısına güvenmek, muhtemelen casusluğa uzanan Kuzey Kore ve Rus kuruluşları arasındaki potansiyel işbirliği hakkında sorular doğuruyor.
Kuzey Kore’nin sınırlı yerli internet kaynakları ile sadece 1.024 IP adresiyle, yabancı altyapının kullanımı, 1,5 milyar dolarlık Bybit Hack gibi yüksek profilli saldırılarla kanıtlandığı gibi siber suçlarını ölçeklendirmek için kritik öneme sahiptir.
Trend Vision One, müşterilere tehdit istihbaratı sunan, ilişkili uzlaşma göstergelerini (IOCS) aktif olarak tespit eder ve engeller.
Riskleri azaltmak için BT profesyonelleri, izole sanal ortamlarda görüşme ile ilgili kod yürütmeli ve görüşmeler sırasında AI tarafından üretilen veya derin fare etkileşimleri için uyanık kalmalıdır.
Dokkaebi’nin kapsamı, kripto para birimi hırsızlığının ötesine geçebileceğinden, anonimleştirilmiş altyapılarını anlama ve karşı koymak çok önemlidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!