Yeni siber güvenlik araştırmaları, Microsoft’un “Jasper Sleet” Tehdit Oyuncu Grubu’nun operasyonuna nasıl giren DPRK’ye bağlı BT uzmanlarının önemli ayrıntılarını ortaya çıkardı. Şirket ağlarına yetkisiz erişim elde etmek için Web3, blockchain ve kripto para birimi endüstrilerindeki uzaktan çalışma fırsatlarından yararlanırlar.
Meşru istihdamı güvence altına alarak, bu aktörler sıfır gün istismarları veya karanlık web alımları gibi geleneksel başlangıç erişim vektörlerini atlar ve hedef organizasyonları doğrudan Kuzey Kore füze programlarına yönlendirir.
Sofistike sızma taktikleri
Analiz, öncelikle GoFile gibi platformlardan kaynaklanan ve Mayıs 2025’te malware ağlarında Europol liderliğindeki bir baskı olan Endgame 2.0 Operasyonu ile örtüşen yaklaşık 1.417 e-posta adresini ortaya çıkaran iki veri sızıntısından kaynaklanıyor.
1.175 örneğe hakim olan Gmail’e sahip 63 alandan oluşan bu e-postalar, Skiff, Proton ve Anonaddy ve Gizmotik gibi geçici sağlayıcılar gibi gizlilik odaklı hizmetlerin tercihini vurgulamaktadır.
Sızan veri kümeleri, 23-36 yaş arası operatörleri, “ejderha” (14 adreste görünen), Yunan mitolojisi referansları (örneğin, Artemis, Athena) ve teknoloji odaklı terimler (örneğin, “geliştirici”), “Coder” gibi hayvan motiflerini öneren doğum yılları (örneğin 1990-1995) dahil olmak üzere farklı kalıplar ortaya çıkarır.
Alien TxtBase gibi Cutout Pro ve Infostealer günlükleri gibi ilişkili ihlallerden şifre analizi, genellikle “xiah” gibi qwerty desenlerine bağlı “123QWE!
Birçok hesap, Google Authenticator üzerinden 2FA ve veri kümesi içinde bağlanan ve koordineli kimlik yönetimini gösteren kurtarma e -postaları içerir.
Canva, Z-Lib ve Operation Endgame gibi ihlallerle örtüşüyor, bu e-postaların daha geniş kötü niyetli faaliyetlere katılımının altını çiziyor ve Gmail olmayan hizmetlerden düz metin şifreleri veren infostealer uzlaşmalarının kanıtları.
Savunma önerileri
Araştırmacı Zachxbt’e atfedilen ikinci sızıntının daha fazla incelenmesi, haftalık raporlar, SSN’ler, Upwork/LinkedIn hesapları, VPN’ler ve OCTO tarayıcısı, Anydesk ve Fauneswap gibi araçlar almak için masraf tabloları da dahil olmak üzere operasyonel iş akışlarını ortaya çıkarır.
Rapora göre, arama geçmişleri Polonya merkezli firmaların, ERC20/Solana ekosistemlerinin ve AI şirketlerinin, ETH adresi 0x78E1A4781D184E7CE6A124DD96E765E2BEA96F2C gibi kripto para birimi cüzdanlarıyla ödemelerle bağlantılı olarak hedeflendiğini göstermektedir.
Sözde kimlikler genellikle Çin kökenli İngiltere sakinlerini taklit eder, Rus IP izleri Google ile Korece’ye çevirir ve DPRK atfetmesini güçlendirir.
Microsoft’un Jasper Squet raporları ve Upwork ve Craigslist’teki serbest platform etkinliklerini eşleştiren GitHub profilleri, casusluk ve tedarik zinciri uzlaşma riskini artırıyor.
Bu tehditleri azaltmak için kuruluşlar, başvuru sahibinin taranması için sızdırılmış e-posta modelleri üzerinde eğitilmiş makine öğrenme modellerini entegre etmeli, arka plan kontrolleri sırasında Çin veya Rusya ile bağlantıları incelemeli ve video röportajları için Deepfake tarayıcı gibi anti-dearfake araçlarını dağıtmalıdır.
Bu göstergeler erken tespit yardımcı olsa da, tehdit aktörlerinin uyarlanabilir modus operandi, sürekli uyanıklık ve veri odaklı doğrulama protokollerini gerektirir.
Uzlaşma Göstergeleri (IOC)
| Kategori | Örnekler | Tanım |
|---|---|---|
| E -posta Desenleri | ejderha*, kaplan*, dev*, 199[0-5]* | Hayvanlarla kullanıcı adları, teknoloji terimleri, doğum yılları |
| Ortak şifreler | 123QWE!@#QWE, Asdasdasd, Xiah | İhlallerden zayıf, tekrarlanan krediler |
| Cüzdan Adresleri | 0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c | Ödemeler için et cüzdanı |
| Araçlar/Hizmetler | Yüzler, Anydesk, Octo Tarayıcı | Kimlik Kaçımı ve Uzaktan Erişim İçin Kullanılır |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!