DPRK bağlantılı Velvet Chollima Advanced Kalıcı Tehdit (APT) Grubu, Güney Kore hükümet yetkililerini ve Kuzey Amerika, Güney Amerika, Avrupa ve Doğu Asya’daki STK’ları, devlet kurumlarını ve medya kuruluşlarını hedefleyen sofistike bir siber saldırı kampanyası başlattı.
Ocak 2025’te başlatılan bu saldırı, Microsoft’un Tehdit İstihbarat Ekibi tarafından ayrıntılı olarak açıklanan ve Blewing Computer tarafından bildirilen bu saldırı, kurbanları kötü amaçlı kod yürütmeye kandırmak için silahlandırılmış PDF ekleri ile mızrak aktı e-postalarını kullanıyor.
Kampanya, kullanıcıları PowerShell komutlarını yönetici olarak çalıştırmak için kandırmak için tasarlanmış ve nihayetinde saldırganlara tehlikeye atılan sistemlere uzaktan erişim sağlayan “ClickFix” olarak bilinen yeni bir sosyal mühendislik taktiği sunuyor.
.png
)
Sofistike mızrak aktı kampanyası
Saldırı, zaman içinde hedeflerle güven oluşturmak için Güney Kore hükümet yetkililerinin yazışmaları olarak maskelenen titizlikle hazırlanmış bir mızrak aktı e-postasıyla başlar.
E -postanın içine gömülü olan, kurbanları hileli bir Captcha doğrulama sayfasına yönlendiren gizli bir köprü içeren bir PDF ekidir.
Bu aldatıcı arayüz, meşru güvenlik kontrollerini taklit ederek kullanıcıların “bir robot değil” olduklarını onaylamalarını istemektedir.
Bununla birlikte, etkileşim üzerine, bir JavaScript işlevi, kullanım kolaylığı için kurbanın panosuna rahatça kopyalanan bir dizi PowerShell komutunu yürütmek için talimatlarla bir açılır pencereyi tetikler.
Aldatıcı bir saldırı zinciri
Kullanıcıya göre, bu talimatları izlemek, enfekte makinedeki komutların uzaktan yürütülmesine izin veren saldırganın komut ve kontrol (C2) sunucusuna ters bir kabuk bağlantısı oluşturur.
Kalıcını sağlamak için, kötü amaçlı komut dosyası, her sistem yeniden başlatılmasında yeniden etkinleştirmeyi garanti ederek RUN tuşu aracılığıyla kendisini Windows kayıt defterine yerleştirir.
Rapora göre, bu çok aşamalı saldırı zinciri, Velvet Chollima tarafından kullanılan kurnaz sosyal mühendislik taktiklerini örnekliyor ve insan psikolojisini geleneksel güvenlik savunmalarını atlamak için sömürüyor.
Bu saldırının doruk noktası, bir ters kabuğun genellikle saldırganın C2 sunucusuna bir TCP bağlantısı oluşturan PowerShell komut dosyası aracılığıyla dağıtılmasıdır.
Bu bağlantı, Velvet Chollima operatörlerinin hassas verileri dışarı atmasına, ek kötü amaçlı yazılım yüklemesine ve kurban böyle bir ortamda faaliyet göstermesi durumunda potansiyel olarak kurumsal ağlar aracılığıyla yayılmasına olanak tanır.
Kayıt defteri modifikasyonları yoluyla elde edilen kalıcılık mekanizması, bu kampanyanın ortaya koyduğu uzun vadeli tehdidin altını çizer, çünkü sistemler yeniden başlatıldıktan sonra bile tehlikeye girer.
Microsoft’un tehdit istihbarat ekibi, grubun aldatıcı hata mesajlarını ve sahte cihaz kayıt istemlerini kullanmasını vurgulayarak kampanyanın etkinliğini daha da artırdı.
Birden fazla kıtada yüksek profilli varlıkların hedeflenmesi, istihbarat toplamak veya kritik operasyonları engellemek için koordineli bir çaba olduğunu düşündürdüğü için daha geniş sonuçlar endişe vericidir.
Kuruluşlardan e -posta filtrelemesini geliştirmeleri, kimlik avı girişimlerini tanımak için personeli eğitmeleri ve istenmeyen komutların yürütülmesine karşı katı politikalar uygulamaları istenir.
Velvet Chollima taktiklerini ClickFix gibi yeniliklerle geliştirmeye devam ederken, siber güvenlik topluluğu bu kalıcı ve gelişen tehditlere karşı koymak için artan bir zorlukla karşı karşıya.
Dikkat ve proaktif savunma stratejileri, hem teknolojik hem de insan güvenlik açıklarından yararlanan bu tür sinsi saldırılara karşı korunmada çok önemlidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!