Tanınmış bir Kuzey Kore ileri kalıcı tehdidi (APT), odağını finansal kazanç için ABD’deki özel şirketleri hedef almaya kaydırdı.
Symantec’in Tehdit Avcısı Ekibi’ndeki araştırmacılar bu hafta, “Stonefly” (diğer adıyla Andariel, APT45, Silent Chollima ve Onyx Sleet) olarak takip ettiği devlet destekli grubun bir iddianame ve soruşturma başlattığını söyledi. 10 milyon dolar ödül Kim Jong-Un rejimi için daha fazla fon toplamak amacıyla ABD Adalet Bakanlığı’ndan (DoJ).
Kuzey Kore’nin Genel Keşif Bürosu’nun (RGB) bir parçası olan Stonefly, Adalet Bakanlığı’nın gruba karşı harekete geçmesinden yaklaşık bir ay sonra, Ağustos ayında ABD’deki üç kuruluşa saldırılar düzenledi. Araştırmacılar, kurbanların “belirgin bir istihbarat değerine” sahip olmadığını ve muhtemelen bir fidye yazılımı saldırısına hazırlıklı olduklarını belirtti; ancak izinsiz girişler, oyun sonu başlamadan önce tespit edildi.
Symantec araştırmacıları, diğer Kuzey Koreli APT’lerin kendilerini dolandırıcılığa adamış olmasına rağmen, fon toplamaya odaklanmanın grup için nispeten yeni bir esneklik olduğunu vurguladı. Rejim için döviz. Stonefly geçmişte pandemi sırasında (DoJ incelemesine konu olan) hastaneleri ve diğer sağlık hizmeti sağlayıcılarını hedef aldı ve peşinden gittiği biliniyor yüksek değerli casusluk hedefleri ABD Hava Kuvvetleri üsleri, NASA Genel Müfettiş Ofisi ve Çin’deki hükümet kuruluşları gibi, Güney Koreve Tayvan.
Analize göre “Symantec, en azından 2019’dan bu yana odak noktasının seçilmiş, yüksek değerli hedeflere yönelik casusluk operasyonlarına kaydığını gördü.” “Görünüşe göre gizli veya son derece hassas bilgi veya fikri mülkiyeti elinde bulunduran kuruluşları hedeflemek konusunda uzmanlaşıyor… [Stonefly had] mali amaçlı saldırılara karışmadığı ortaya çıktı.”
Fidye Yazılımı Saldırılarını Önlemek için Stonefly’ın IoC’lerini Arayın
Stonefly’ın şüphelenmeyen özel şirketlerden fon çekmeye daha az hedefli odaklanması, normalde kendilerini APT’nin hedefi olarak görmeyen sıradan işletmelerin grubun uzlaşma göstergelerini (IoC’ler) tanımasını sağlar.
Ve çok sayıda var. Fidye yazılımı Ağustos saldırılarında hiç kullanılmamış ve başlangıçtaki uzlaşma yolu net olmasa da, Stonefly sonuçta engellenmeden önce yine de kitindeki pek çok aracı kaçırmayı başardı.
Symantec’e göre “Saldırıların birçoğunda Stonefly’ın özel kötü amaçlı yazılımı Backdoor.Preft (diğer adıyla Dtrack, Valefor) kullanıldı.” blog yazısı. “Ayrıca… saldırganlar, bu kampanyaya özel görünen diğer iki sertifikaya ek olarak Microsoft tarafından belgelenen sahte bir Tableau sertifikası da kullandı.”
Araç kutusu aynı zamanda komutları yürütebilen, dosyaları indirip yükleyebilen ve ekran görüntüsü alabilen bir arka kapı olan Nukebot’u da içeriyordu; Mimikatz; iki farklı keylogger; the Şerit açık kaynak çapraz platform penetrasyon testi çerçevesi; PuTTY SSH istemcisi; Plink; Megatools; sabit sürücüdeki klasör yapılarının anlık görüntülerini alan ve bunları HTML dosyaları olarak kaydeden bir yardımcı program; ve yerel sunucuları genel İnternet’e açabilen FastReverseProxy.