Kuzey Kore bağlantılı tehdit aktörleri, Cisco Talos ve Google Tehdit İstihbarat Grubu’nun yeni bulgularına göre merkeziyetsiz ve kaçamak kötü amaçlı yazılım araçlarını kullanarak siber operasyonlarını artırıyor.
Bu kampanyalar, kripto para çalmak, ağlara sızmak ve tespit edilmekten kaçınmak için sofistike iş alım dolandırıcılıkları kullanıyor.
Gelişen Kötü Amaçlı Yazılım Teknikleri Artan Kapasiteyi Yansıtıyor
Cisco Talos araştırmacıları, Kuzey Koreli grup Famous Chollima tarafından yürütülen bir kampanyayı tespit etti. Grup, BeaverTail ve OtterCookie adında iki tamamlayıcı kötü amaçlı yazılım türü kullandı. Geleneksel olarak kimlik bilgisi hırsızlığı ve veri sızdırma için kullanılan bu programlar, şimdi yeni işlevler ve daha yakın bir işbirliği ile evrim geçirdi.
SponsoredSri Lanka‘da bir organizasyonu içeren son olayda, saldırganlar bir iş arayan kişiyi teknik değerlendirme parçası olarak gizlenmiş kötü amaçlı kodu yüklemeye ikna etti. Organizasyon doğrudan hedef olmasa da Cisco Talos analistleri, OtterCookie ile bağlantılı bir tuş kaydedici ve ekran görüntüleme modülü gözlemledi. Bu modül, sahte iş tekliflerine dahil olan bireyler için daha geniş bir risk olduğunu vurguluyor. Modül, tuş vuruşlarını gizlice kaydedip masaüstü görüntülerini yakalayarak bunları otomatik olarak uzak bir komut sunucusuna iletti.
Bu gözlem, Kuzey Kore bağlantılı tehdit gruplarının sürekli evrimini ve habersiz hedefleri tehlikeye atmak için sosyal mühendislik tekniklerine odaklandıklarını gösteriyor.
Komut Altyapısı Olarak Kullanılan Blockchain
Google’ın Tehdit İstihbarat Grubu (GTIG), UNC5342 adlı Kuzey Kore bağlantılı bir aktör tarafından yürütülen bir operasyonu tespit etti. Grup, EtherHiding adlı yeni bir kötü amaçlı yazılım kullandı. Bu araç, kötü amaçlı JavaScript yüklerini halka açık bir blockchain üzerinde saklayarak merkeziyetsiz bir komut ve kontrol (C2) ağına dönüştürüyor.
Blockchain kullanarak, saldırganlar kötü amaçlı yazılım davranışını geleneksel sunucular olmadan uzaktan değiştirebilir. Bu durum, kolluk kuvvetlerinin müdahalelerini çok daha zor hale getiriyor. Ayrıca, GTIG, UNC5342’nin EtherHiding’i Palo Alto Networks tarafından daha önce tanımlanan Contagious Interview adlı bir sosyal mühendislik kampanyasında uyguladığını bildirdi. Bu durum, Kuzey Kore bağlantılı tehdit aktörlerinin ısrarcılığını gösteriyor.
İş Arayanları Hedef Alarak Kripto Para ve Veri Çalmak
Google araştırmacılarına göre, bu siber operasyonlar genellikle kripto para ve siber güvenlik sektörlerindeki profesyonellere yönelik sahte iş ilanları ile başlıyor. Kurbanlar, sahte değerlendirmelere katılmaya davet ediliyor ve bu süreçte kötü amaçlı kod içeren dosyaları indirmeleri isteniyor.
Bulaşma süreci genellikle JadeSnow, BeaverTail ve InvisibleFerret gibi birden fazla kötü amaçlı yazılım ailesini içeriyor. Birlikte, saldırganların sistemlere erişmesini, kimlik bilgilerini çalmasını ve fidye yazılımı dağıtmasını sağlıyor. Nihai hedefler arasında casusluk, finansal hırsızlık ve uzun vadeli ağ sızması yer alıyor.
Cisco ve Google, Kuzey Kore bağlantılı siber tehditleri tespit etmek ve yanıt vermek için organizasyonlara yardımcı olacak tehlike göstergeleri (IOC’ler) yayınladı. Bu kaynaklar, kötü amaçlı etkinlikleri tanımlamak ve potansiyel ihlalleri hafifletmek için teknik detaylar sunuyor. Araştırmacılar, blockchain ve modüler kötü amaçlı yazılımın entegrasyonunun, küresel siber güvenlik savunma çabalarını muhtemelen daha da karmaşık hale getireceği konusunda uyarıyor.
