Anti-Phishing, DMARC, Siber Savaş / Ulus Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suç
BAE Systems, Kuzey Kore Siber Casusluk Grubunun Hedefindeki Şirketler Arasında
Jayant Chakravarti (@JayJay_Tech) •
19 Eylül 2024
Mandiant’a göre, Kuzey Koreli bir siber casusluk grubu, iş alımcıları gibi davranarak havacılık ve enerji sektörü çalışanlarını kazançlı iş teklifleriyle hedef alıyor. Bilgisayar korsanları, kurbanları cihazlarına arka kapı kötü amaçlı yazılım dağıtan bir bağlantıyı tıklamaya ikna etmek için e-posta ve WhatsApp mesajları kullanıyor.
Ayrıca bakınız: İsteğe Bağlı | 2024 Kimlik Avı İçgörüleri: 11,9 Milyon Kullanıcı Davranışının Riskiniz Hakkında Gösterdikleri
Mandiant, Çarşamba günü yayınladığı blog yazısında, Haziran ayında bir Kuzey Kore siber casusluk grubunun, BAE Systems gibi İngiliz çokuluslu havacılık ve savunma üreticisi ve aynı zamanda bilgi güvenliği hizmetleri de sağlayan havacılık ve enerji şirketlerinde çalışanları hedef alma girişimlerini araştırdığını söyledi.
Mandiant, grubun başlangıçta mağdurlarla e-posta yoluyla iletişime geçtiğini ve ardından görüşmeyi WhatsApp’a taşıdığını ve burada her kişinin belirli rolüne göre uyarlanmış ayrıntılı iş tanımları gönderdiklerini söyledi. İş tanımları PDF formatındaydı, kötü amaçlı bir arşivde saklanıyordu ve yalnızca arşivde bulunan SumatraPDF’nin Truva atı haline getirilmiş bir sürümüyle açılabiliyordu.
Mandiant’ın UNC2970 olarak takip ettiği grup, Kim Jong Un liderliğindeki rejimin ilgisini çekebilecek bilgileri elde etmek için sektörler arası kuruluşları ve çalışanlarını rutin olarak hedef aldı. Mandiant, grubun araçlarının ve saldırı tekniklerinin, en az 2013’ten beri stratejik istihbarat toplama faaliyetinde bulunan TEMP.Hermit olarak takip edilen başka bir Kuzey Kore tehdit grubuna benzediğini söyledi.
Kuzey Koreli aktörler daha önce LinkedIn’i iş ile ilgili kimlik avı tuzakları için kullanmıştı. Mart 2023’te Mandiant, UNC2970 grubunun The New York Times ve diğer ABD ve Avrupa medya kuruluşları için işe alımcı gibi davrandığını ve kurbanları iş tanımı veya beceri değerlendirmesi kisvesi altında bir kimlik avı yükünü açmaya ikna etmeye çalıştığını söyledi (bkz: Kuzey Koreli Hackerlar LinkedIn’de Değer Buldu).
Haziran kampanyasında casusluk grubu, Notepad++ eklentisinin değiştirilmiş bir sürümü olan MISTPEN adlı arka kapı kötü amaçlı yazılımını iletmek için ücretsiz ve açık kaynaklı bir belge görüntüleyicisi olan SumatraPDF’nin eski sürümlerini kullandı. Korsanlar SumatraPDF’deki herhangi bir güvenlik açığını istismar etmedi ancak kötü amaçlı kodu yürütmek için DllMain işlevine bir iş parçacığı ekledi.
Grup ayrıca, BURNBOOK adlı bir başlatıcı oluşturmak için SumatraPDF ikili dosyası tarafından kullanılan meşru bir DLL dosyasını da değiştirdi. Mandiant, “Bu dosya, TEARPAGE olarak izlenen ve sistem yeniden başlatıldıktan sonra MISTPEN arka kapısını çalıştırmak için kullanılan gömülü bir DLL olan “wtsapi32.dll” için bir damlalıktır” dedi. SumatraPDF’nin daha yeni sürümleri artık kullanıcıların meşru DLL’nin değiştirilmiş sürümlerini yüklemesini engelliyor ve tehdit grubunu belge okuyucunun eski sürümlerini kullanmaya zorluyor.
Kuzey Kore’nin Batılı örgütlere ve Doğu Asya’daki rakip ülkelere yönelik casusluk saldırıları son yıllarda, özellikle Kim Jong Un’un münzevi krallığının askeri ve endüstriyel varlıklarını modernize etme planlarını açıklamasının ardından artış gösterdi.
Haziran ayında Güney Kore Ulusal İstihbarat Servisi ve Ulusal Polis Teşkilatı, İngiltere Ulusal Siber Güvenlik Merkezi, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı ve FBI, Kuzey Kore casusluk grubu Andariel’in rejimin askeri ve nükleer hedeflerini ilerletmek için Batı’nın nükleer ve askeri teknolojilerini çalmak amacıyla savunma, havacılık ve enerji sektörlerini hedef aldığı konusunda ortak bir uyarıda bulundu (bkz: Ajanslar Kuzey Kore’nin Nükleer Tesislere Yönelik Saldırıları Konusunda Uyarıyor).
Onyx Sleet, DarkSeoul, Silent Chollima ve Stonefly olarak da bilinen grup, öncelikli olarak Batı ve müttefik savunma, havacılık, nükleer ve mühendislik kuruluşlarını hedef alıyor. Ajanslar, operasyonlarını ABD sağlık kuruluşlarına yönelik fidye yazılımı saldırıları aracılığıyla finanse ettiğini söyledi.
Mandiant, UNC2970 operasyonlarından herhangi birini Andariel ile ilişkilendirmese de araştırmacılar, Kuzey Koreli hacker gruplarının amaçlarına bağlı olarak siber saldırı araçlarını ve taktiklerini rutin olarak paylaştıklarını söyledi.[UNC2970] Şirket, “diğer Kuzey Koreli operatörlerle önemli kötü amaçlı yazılım çakışmaları var ve kod ve eksiksiz kötü amaçlı yazılım araçları gibi kaynakları diğer farklı aktörlerle paylaştığına inanılıyor” dedi. “Gözlemlenen UNC577 etkinliği öncelikli olarak Güney Kore’deki varlıkları hedef alırken, aynı zamanda dünya çapındaki diğer kuruluşları da hedef aldı.”