Kuzey Koreli bilgisayar korsanları yeni bir arka kapıyla güvenlik araştırmacılarını hedef alıyor

byUğur Kaya
0

 Kampanya, yasal kişileri taklit eden, özenle hazırlanmış LinkedIn hesaplarını kullanır.


Araştırmacılar, Kuzey Kore hükümetine bağlı tehdit aktörlerinin, hedeflerin çalıştığı şirketlerde bir yer edinme umuduyla yeni teknikler ve kötü amaçlı yazılım kullanan bir bilgisayar korsanlığı kampanyasında güvenlik araştırmacılarını hedef aldığını söyledi.

Güvenlik şirketi Mandiant'tan araştırmacılar Perşembe günü, kampanyayı ilk olarak geçen Haziran ayında teknoloji endüstrisindeki ABD merkezli bir müşteriyi hedef alan bir kimlik avı kampanyasını izlerken fark ettiklerini söyledi. Bu kampanyadaki bilgisayar korsanları, Mandiant tarafından Touchmove, Sideshow ve Touchshift olarak adlandırılan üç yeni kötü amaçlı yazılım ailesini hedeflere bulaştırmaya çalıştı. Bu saldırılardaki bilgisayar korsanları, hedeflerin bulut ortamlarında çalışırken uç nokta tespit araçlarına karşı koymak için yeni yetenekler de gösterdi.

Mandiant araştırmacıları, "Mandiant, UNC2970'in bu operasyonda özellikle güvenlik araştırmacılarını hedef aldığından şüpheleniyor" diye yazdı.

Mandiant, kampanyayı keşfettikten kısa bir süre sonra, Mandiant'ın Kuzey Koreli tehdit aktörüne verdiği ad olan UNC2970 tarafından ABD ve Avrupa medya kuruluşlarına yapılan çok sayıda izinsiz girişe yanıt verdi. UNC2970, hedefleri cezbetmek ve yeni kötü amaçlı yazılımı yüklemeleri için onları kandırmak amacıyla bir iş bulma temasıyla hedefli kimlik avını kullandı.

Geleneksel olarak, UNC2970, işe alma temaları olan spearphishing e-postaları ile kuruluşları hedef almıştır. Daha yakın zamanlarda, grup sözde işe alım uzmanlarına ait sahte LinkedIn hesaplarını kullanmaya başladı. Hesaplar, hedefleri kandırmak ve başarı şanslarını artırmak için meşru kişilerin kimliklerini taklit edecek şekilde özenle hazırlanmıştır. Sonunda, tehdit aktörü konuşmaları WhatsApp'a kaydırmaya çalışır ve oradan, bir arka kapı Mandiant çağrıları Plankwalk veya diğer kötü amaçlı yazılım ailelerini iletmek için WhatsApp veya e-postayı kullanır.

Plankwalk veya kullanılan diğer kötü amaçlı yazılımlar, öncelikle Microsoft Word belgelerine gömülü makrolar aracılığıyla gönderilir. Belgeler açıldığında ve makroların çalışmasına izin verildiğinde, hedefin makinesi bir komut ve kontrol sunucusundan kötü amaçlı bir yük indirir ve yürütür. Kullanılan belgelerden biri şuna benziyordu:

Saldırganların komuta ve kontrol sunucuları, UNC2970'in bilinen başka bir tekniği olan, güvenliği ihlal edilmiş WordPress siteleridir. Bulaşma süreci, hedefe, diğer şeylerin yanı sıra, TightVNC uzak masaüstü uygulamasının kötü amaçlı bir sürümünü içeren bir arşiv dosyası göndermeyi içerir. Gönderide, Mandiant araştırmacıları süreci daha ayrıntılı olarak açıkladı:

UNC2970 tarafından teslim edilen ZIP dosyası, kurbanın bir iş başvurusu için beceri değerlendirme testi olduğunu düşündüğü şeyi içeriyordu. Gerçekte, ZIP, Mandiant'ın LIDSHIFT olarak izlediği, Truva atı uygulanmış bir SıkıVNC sürümünü içeren bir ISO dosyası içeriyordu. Kurbana, diğer dosyalarla birlikte kurbanın değerlendirmeye girmeyi planladığı şirkete uygun şekilde adlandırılmış olan SıkıVNC uygulamasını çalıştırması talimatı verildi.

LIDSHIFT, yasal bir Sıkı VNC görüntüleyici işlevi görmenin yanı sıra birden çok gizli özellik içeriyordu. İlki, kötü amaçlı yazılımın kullanıcı tarafından yürütüldüğünde, sabit kodlu C2'sine bir işaret göndermesiydi; bunun kullanıcıdan ihtiyaç duyduğu tek etkileşim, programın başlatılmasıydı. Bu etkileşim eksikliği, MSTIC'in son blog gönderilerinde gözlemlediğinden farklıdır. LIDSHIFT'ten gelen ilk C2 işareti, kurbanın ilk kullanıcı adını ve ana bilgisayar adını içerir.

LIDSHIFT'in ikinci yeteneği, şifreli bir DLL'yi belleğe yansıtıcı olarak enjekte etmektir. Enjekte edilen DLL, Mandiant'ın LIDSHOT olarak izlediği, bir indirici işlevi gören, truva atı haline getirilmiş bir Notepad++ eklentisidir. Kurban, TightVNC Viewer uygulamasının içindeki açılır menüyü açar açmaz LIDSHOT enjekte edilir. LIDSHOT'un iki temel işlevi vardır: sistem numaralandırma ve C2'den kabuk kodunu indirme ve yürütme.

Saldırı, daha sonra Microsoft uç nokta uygulaması InTune da dahil olmak üzere çok çeşitli ek araçları yükleyebilen Plankwalk arka kapısını yüklemek için devam eder. InTune, bir kuruluşun Azure Active Directory hizmetine kayıtlı uç noktalara yapılandırmalar sunmak için kullanılabilir. UNC2970, uç nokta korumalarını atlamak için yasal uygulamayı kullanıyor gibi görünüyor.

Mandiant araştırmacıları, "Belirlenen kötü amaçlı yazılım araçları, UNC2970 tarafından devam eden kötü amaçlı yazılım geliştirme ve yeni araçların dağıtımını vurgulamaktadır" diye yazdı. "Grup daha önce savunma, medya ve teknoloji endüstrilerini hedef almış olsa da, güvenlik araştırmacılarının hedef alınması, stratejide bir değişiklik veya operasyonlarının genişletilmesi anlamına geliyor." 

Güvenlik araştırmacılarının hedef alınması UNC2970 için yeni olsa da, diğer Kuzey Koreli tehdit aktörleri en az 2021'den beri faaliyette bulunuyor.

Hedefler, aşağıdakileri kullanarak bu kampanyalarda virüs bulaşma şansını azaltabilir:

  • Çok faktörlü kimlik doğrulama
  • Azure Active Directory'ye erişmek için yalnızca bulut hesapları
  • E-posta göndermek, Web'de gezinmek ve benzer etkinlikler için ayrı bir hesap ve hassas yönetim işlevleri için ayrılmış bir yönetici hesabı.

Kuruluşlar, makroları engelleme ve Azure AD'de ayrıcalıklı kimlik yönetimi, koşullu erişim ilkeleri ve güvenlik kısıtlamaları kullanma gibi diğer korumaları da dikkate almalıdır. InTune işlemlerini onaylamak için birden çok yöneticinin gerekli kılınması da önerilir. Azaltıcı önlemlerin tam listesi, yukarıda bağlantısı verilen Mandiant gönderisine dahil edilmiştir.

Tags:
Daha yeni Daha eski