Symantec tehdit analistleri, üye olduğu iddia edilenlerden birine karşı hazırlanan iddianameden vazgeçmeyen Kuzey Koreli APT grubu Stonefly’ın (diğer adıyla APT45) ABD’deki şirketleri hedef almaya devam ettiği konusunda uyardı.
Stonefly Hakkında
Andariel ve OnyxFleet olarak da bilinen Stonefly, Kuzey Kore askeri istihbarat teşkilatı olan Keşif Genel Bürosu (RGB) ile bağlantılıdır.
2024 yılında Kuzey Kore siber operasyonlarının değerlendirilen yapısı (Kaynak: Mandiant)
Mandiant’ın tehdit analistleri daha önce “APT45, 3PROXY gibi halka açık araçların, ROGUEEYE gibi kamuya açık kötü amaçlı yazılımlardan değiştirilmiş kötü amaçlı yazılımların ve özel kötü amaçlı yazılım ailelerinin bir karışımına güveniyor” dedi.
“Çoğu grup gibi [Democratic People’s Republic of Korea] APT45 kötü amaçlı yazılımı, zaman içinde kodun yeniden kullanımı, benzersiz özel kodlama ve parolalar dahil olmak üzere farklı ortak özellikler sergiler. APT45, diğer Kuzey Kore etkinlik kümelerinden nispeten farklı olan kötü amaçlı yazılım araçlarından oluşan bir kitaplıktan yararlanıyor.”
Mandiant’a göre grup:
- En az 2009’dan beri aktif
- Başlangıçta devlet kurumlarına ve savunma sanayine karşı casusluk kampanyalarına girişti, ancak o zamandan beri repertuarına mali motivasyonlu saldırıları da ekledi.
- Finans sektöründeki hedeflenen kuruluşlar, nükleerle ilgili kuruluşlar ve sağlıkla ilgili araştırmalara katılan kuruluşlar
Mandiant analistleri, “Mevcut bilgiler göz önüne alındığında, APT45’in yalnızca kendi operasyonlarını desteklemek için değil, aynı zamanda Kuzey Kore devletinin diğer öncelikleri için fon oluşturmak amacıyla mali motivasyonlu siber suçlar gerçekleştirmesi mümkündür” dedi ve şunu ekledi: Grup, fidye yazılımının geliştirilmesi ve dağıtımıyla ilgileniyor.
En son saldırılar
Symantec’in tehdit avcıları, Ağustos 2024’te farklı ABD kuruluşlarına yapılan üç ayrı saldırıda saldırganların sonuçta ağlara fidye yazılımı dağıtmayı başaramadıklarını söylüyor.
Bununla birlikte, saldırıların büyük olasılıkla finansal amaçlı olduğuna inanıyorlar: “Kurbanların tümü özel şirketlerdi ve bariz bir istihbarat değeri olmayan işlerle uğraşıyorlardı.”
Stonefly’ın saldırılara karıştığına işaret eden şey, yalnızca grupla ilişkilendirilen özel, kalıcı bir arka kapı ve aynı zamanda daha önce gruba bağlı olan uzlaşma göstergeleri olan Preft’tir.
Grup ayrıca başka bir arka kapı (Nukebot), kötü amaçlı toplu dosyalar, iki farklı keylogger ve halka açık araçlar (Mimikatz, Sliver, Plink, Megatools, FastReverseProxy, vb.) kullandı.
Analistler, “Grup muhtemelen ABD’deki kuruluşlara yönelik şantaj saldırıları düzenlemeye devam ediyor” yorumunu yaptı ve en son uzlaşma göstergelerini paylaştı.