Kore Demokratik Halk Cumhuriyeti (DRPK) ile bağları olan devlet destekli bir tehdit aktörü, nihai hedefi virüslü Windows sistemlerine bir arka kapı yerleştirmek olan ülkeyi kapsayan gazetecileri hedef alan bir zıpkınla kimlik avı kampanyasına atfedildi.
Ricochet Chollima’nın işi olduğu söylenen izinsiz girişler, daha önce grupla bağlantılı olan BLUELIGHT adlı başka bir kötü amaçlı yazılımla teknik örtüşmeler paylaşan bir yapı olan GOLDBACKDOOR adlı yeni bir kötü amaçlı yazılım türünün konuşlandırılmasıyla sonuçlandı.
Siber güvenlik firması Stairwell, “Gazeteciler, düşman hükümetler için yüksek değerli hedeflerdir” dedim Geçen hafta yayınlanan bir raporda. “Bir gazeteciden ödün vermek, son derece hassas bilgilere erişim sağlayabilir ve kaynaklarına yönelik ek saldırılara olanak sağlayabilir.”
Ricochet Chollima olarak da bilinir. APT37InkySquid ve ScarCruft, en az 2016’dan beri casusluk saldırılarına karışmış olan, Kuzey Kore-nexus hedefli bir saldırı düşmanıdır. Tehdit aktörü, hükümet yetkililerine odaklanarak Kore Cumhuriyeti’ni hedef alma konusunda bir geçmişe sahiptir. hükümet kuruluşları, akademisyenler, gazeteciler ve Kuzey Koreli sığınmacılar.
Kasım 2021’de Kaspersky, bilgisayar korsanlığı ekibinin yeni bir yüksek düzeyde hedefli gözetim saldırıları dalgasının parçası olarak Chinotto adlı daha önce belgelenmemiş bir implant teslim ettiğine dair kanıtları ortaya çıkarırken, önceki diğer operasyonlarda BLUELIGHT adlı bir uzaktan erişim aracı kullanılmıştı.
Stairwell’in kampanyayla ilgili soruşturması NK News’den haftalar sonra geliyor ifşa cazibe mesajlarının eski bir Güney Koreli istihbarat görevlisine ait kişisel bir e-posta adresinden gönderildiğini ve sonuçta tespitten kaçınmak için çok aşamalı bir enfeksiyon sürecinde arka kapının açılmasına yol açtığını söyledi.
E-posta mesajlarının, Kuzey Kore odaklı haber portalını taklit etmek için tasarlanmış uzak bir sunucudan bir ZIP arşivi indirmek için bir bağlantı içerdiği bulundu. Dosyanın içine gömülü, aynı anda GOLDBACKDOOR arka kapısını kurarken bir tuzak belge açan PowerShell komut dosyasını yürütmek için bir atlama noktası görevi gören bir Windows kısayol dosyasıdır.
İmplant, kendi adına, uzak bir sunucudan komutları alma, dosya yükleme ve indirme, dosyaları kaydetme ve kendini tehlikeye atılmış makinelerden uzaktan kaldırma yeteneğine sahip bir Taşınabilir Yürütülebilir dosya olarak biçimlendirilmiştir.
Stairwell’den Silas Cutler, “Son 10 yılda Kore Demokratik Halk Cumhuriyeti DPRK, rejimi desteklemenin kilit bir yolu olarak siber operasyonları benimsedi.” Dedi.
“Bu operasyonların Kuzey Kore’nin askeri programlarını finanse etme aracı olarak kullanıldığı iddiasına büyük önem verilmiş olsa da, araştırmacıların, muhaliflerin ve gazetecilerin hedef alınması, muhtemelen ülkenin istihbarat operasyonlarını desteklemek için kilit bir alan olmaya devam ediyor.”