ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’ndan (CISA) yeni bir siber güvenlik danışmanlığı, halk sağlığı ve diğer kritik altyapı sektörlerine karşı Kuzey Kore fidye yazılımı operasyonlarında gözlemlenen yakın zamanda gözlemlenen taktikleri, teknikleri ve prosedürleri (TTP’ler) açıklıyor.
Belge, NSA, FBI, CISA, ABD HHS ve Kore Cumhuriyeti Ulusal İstihbarat Servisi ve Savunma Güvenlik Teşkilatının ortak bir raporudur ve bu şekilde zorla alınan fonların Kuzey Kore hükümetinin ulusal düzeydeki önceliklerini ve hedeflerini desteklemek için gittiğini belirtir. .
CISA, özel olarak geliştirilmiş dolapların yanı sıra bilgisayar korsanlarının Güney Kore ve ABD sağlık sistemlerine saldırmak için yaklaşık bir düzine başka dosya şifreleme kötü amaçlı yazılım türü kullandıklarını söylüyor.
sahne kurulumu
CISA’nın tavsiyesine göre, Kuzey Koreli tehdit aktörleri, sahte kişiler ve hesaplar ve yasa dışı olarak elde edilen kripto para birimini kullanarak bir saldırı için gereken altyapıyı elde ediyor. Paranın izini sürmek için genellikle uygun yabancı aracılar ararlar.
Bilgisayar korsanları, kökenlerini VPN hizmetleri ve sanal özel sunucular (VPS) veya üçüncü ülke IP adresleri aracılığıyla gizler.
Hedefi aşmak, hedef ağlarda erişime ve ayrıcalık artışına izin veren çeşitli güvenlik açıklarından yararlanılarak yapılır.
Kullandıkları güvenlik sorunları arasında Log4Shell (CVE-2021-44228), SonicWall cihazlarındaki uzaktan kod yürütme kusurları (CVE-2021-20038) ve TerraMaster NAS ürünlerindeki (CVE-2022-24990) yönetici şifresini ifşa kusurları yer alıyor.
“[The] aktörler ayrıca Güney Kore’deki küçük ve orta ölçekli hastanelerin çalışanları tarafından yaygın olarak kullanılan açık kaynaklı bir haberci olan ‘X-Popup’ için Truva atı haline getirilmiş dosyalar aracılığıyla da kötü amaçlı kod yayıyor olabilir,” diye ekliyor CISA raporda.
“Aktörler, iki etki alanından yararlanarak kötü amaçlı yazılım yaydılar: xpopup.pe[.]kr ve xpopup.com. xpopup.pe[.]kr, 115.68.95 IP adresine kayıtlıdır.[.]128 ve xpopup[.]com, 119.205.197 IP adresine kayıtlıdır.[.]111” – CISA
İlk erişimi sağladıktan sonra, Kuzey Koreli bilgisayar korsanları, kabuk komutlarını yürüterek ve bilgi toplamaya yardımcı olan ek yükler konuşlandırarak ağ keşfi ve yanal hareket gerçekleştirir.
Fidye yazılımı tehditleri
Kuzey Koreli bilgisayar korsanları Maui ve H0lyGh0st fidye yazılımı türleriyle ilişkilendirilirken [1, 2]ABD ajansı, “şifreleme için halka açık araçları kullandığı veya bunlara sahip olduğu da gözlemlendi:”
- BitLocker (meşru bir aracın kötüye kullanılması)
- Ölü dükkan
- ech0raix
- Ağlayacağım
- Gizli Gözyaşı
- yapboz
- Kilit Biti 2.0
- Benim Küçük Fidye Yazılımım
- NxRansomware
- Ryuk
- Fidyeniz
BleepingComputer, bu dolapların yarısından fazlasının kamuya açık kaynaklardan temin edilebildiğinin farkındadır, ancak bunu hepsi için doğrulayamadı.
İlginç bir özellik, son birkaç yılda QNAP ağa bağlı depolama (NAS) cihazlarını yoğun bir şekilde hedef alan Deadbolt ve ech0raix fidye yazılımı türlerinin kullanılmasıdır.
Saldırının son aşamasında tehdit aktörü, Bitcoin kripto para biriminde bir fidye ödenmesini talep ediyor. Kurbanlarla iletişim kurmak için Proton Mail hesaplarını kullanıyorlar. Birçok durumda, özellikle kurban sağlık sektöründe faaliyet gösteren özel bir şirket olduğunda, taleplere çalıntı verileri sızdırma tehdidi eşlik eder.
Yazar ajanslar, bu kripto para birimi işlemlerinden elde edilen belirsiz miktarda gelirin, Amerika Birleşik Devletleri ve Güney Kore hükümetlerini hedef alan siber operasyonlar da dahil olmak üzere DPRK’nın ulusal düzeydeki önceliklerini ve hedeflerini desteklediğini değerlendiriyor; belirli hedefler arasında Savunma Bakanlığı Bilgi Ağları ve Savunma Sanayi Üssü üye ağları yer alıyor. .”
CISA, sağlık kuruluşlarının hesap koruması için çok faktörlü kimlik doğrulama (MFA) gibi güvenlik önlemleri almasını, şifreli bağlantı kurmasını, kullanılmayan arayüzleri kapatmasını, ağ trafiği izleme araçlarını kullanmasını, en düşük ayrıcalık ilkelerini izlemesini ve mevcut güvenlik güncellemelerini tüm yazılım ürünlerinde uygulamasını önerir. kullanmak.
Önerilerin ve hafifletme önlemlerinin tam listesi, uzlaşma göstergeleri (IoC’ler) ve bilgi kaynaklarına ve danışma irtibat noktalarına bağlantılar için CISA’nın uyarısını kontrol edin.