TA406 Hackerlar, Giriş Kimlik Bilgilerini Çalmak İçin Devlet Varlıklarını Hedef

Kuzey Kore devlet destekli tehdit oyuncusu TA406, Opal Sleet ve Koni olarak da izlenen TA406, Ukrayna hükümet kuruluşlarına göz attı.

Proofpoint araştırmacıları, yüksek hedefli kimlik avı kampanyaları aracılığıyla hem kimlik bilgisi hasat hem de kötü amaçlı yazılım dağıtımını içeren çift yönlü bir saldırı ortaya çıkardılar.

Bu saldırıların muhtemel amacı, Rus Ukrayna’yı istila üzerine stratejik zeka toplamak, TA406’nın tarihsel odağını siyasi ve jeopolitik içgörülere yansıtmaktır.

– Reklamcılık –

Etkinlikteki bu artış, Kuzey Kore’nin 2024’ün sonlarında Rusya’ya yardım etme taahhüdüne denk geliyor ve bu da güçlerine yönelik riskleri değerlendirme ve Rusya’nın ek askeri destek için potansiyel taleplerini ölçme niyetini öne sürüyor.

DPRK bağlantılı grup yoğunlaşır

Düşünce kuruluşu temsilcilerini taklit eden sahte freemail hesaplarından gönderilen kimlik avı e -postaları, mevcut Ukrayna siyasi olaylarını yem olarak kullanıyor.

Dikkate değer bir kampanya, varolmayan Kraliyet Stratejik Araştırmalar Enstitüsü’nden hayali bir kıdemli adam taklit etti ve hedefleri şifre korumalı bir RAR arşivini dosya barındırma hizmeti Mega’dan indirmeye yönlendirdi.

Arşiv çözüldükten sonra, etkileşim üzerine, IP yapılandırmaları ve antivirüs detayları gibi verileri toplayan PowerShell komut dosyalarını tetikleyen HTML içeriğini yerleştiren bir CHM dosyası dağıtır.

Bu bilgiler baz 64 kodludur ve bir komut ve kontrol (C2) sunucusuna eklenir.

Hedefler etkileşime girmezse, kötü niyetli içerikle etkileşime girme baskısını artırarak takip e-postaları gönderilir.

Paralel olarak, TA406, planlanan görevler ve otomatik komut dosyaları yoluyla kalıcılık oluşturmak için kodlanmış PowerShell’i yürüten LNK kısayolları içeren HTML ekleri ve ZIP dosyaları dağıttı ve tehlikeye atılan sistemlere uzun vadeli erişim sağladı.

Kimlik bilgisi hasat

Kötü amaçlı yazılım kampanyalarından önce, TA406, Proton Posta hesaplarından aynı Ukrayna hedeflerine sahte Microsoft güvenlik uyarıları göndererek kimlik bilgisi hırsızlığı girişiminde bulundu.

Rapora göre, şüpheli oturum açma faaliyetine atıfta bulunan bu mesajlar, kurbanları tehlikeye atılmış bir alana yönlendirdi, jetmf[.]com, daha önce naver kimlik bilgisi hasatıyla bağlantılı.

Analiz sırasında belirli bir hasat sayfası kurtarılamasa da, taktiklerdeki ve hedeflemedeki örtüşme TA406’nın katılımını güçlü bir şekilde önermektedir.

Bu kimlik bilgisi hasadı, muhtemelen daha derin müdahalelerin öncüsü olarak hizmet eder, bu da grubun hassas iletişimlere ve casusluk çabalarını daha da artırmasını sağlar.

Taktik savaş alanı verilerine odaklanan Rus tehdit aktörlerinin aksine, TA406’nın operasyonları, Ukrayna’nın istilaya ve çatışmanın daha geniş görünümüne direnme politik isteğini anlamaya yönelik görünüyor ve Kuzey Kore liderliğine stratejik konumlandırmaları hakkında eleştirel bilgiler sağlıyor.

Uzlaşma Göstergeleri (IOC)

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!