Kuzey Kore’deki tehdit aktörleri, yakın zamanda Play adlı bilinen bir fidye yazılımı ailesini kullanan bir olaya karıştılar ve bu da mali motivasyonlarının altını çizdi.
Mayıs ve Eylül 2024 arasında gözlemlenen faaliyet, şu şekilde takip edilen bir tehdit aktörüne atfedildi: Gergin BalıkAndariel, APT45, DarkSeoul, Nickel Hyatt, Onyx Sleet (eski adıyla Plutonium), Troy Operasyonu, Sessiz Chollima ve Stonefly olarak da bilinir.
Palo Alto Networks Birim 42, “Jumpy Pisces’in veya grubun bir bölümünün artık Play fidye yazılımı grubuyla işbirliği yaptığına orta düzeyde bir güvenle inanıyoruz.” söz konusu bugün yayınlanan yeni bir raporda.
“Bu olay önemli çünkü Jumpy Pisces Kuzey Kore devlet destekli grup ile yeraltı fidye yazılımı ağı arasında kaydedilen ilk işbirliğine işaret ediyor.”
En az 2009’dan beri aktif olan Andariel, Kuzey Kore’nin Genel Keşif Bürosu’na (RGB) bağlı. Daha önce SHATTEREDGLASS ve Maui olarak bilinen iki fidye yazılımı türünün daha yayıldığı gözlemlenmişti.
Broadcom’un bir parçası olan Symantec, bu ayın başlarında, ABD’deki üç farklı kuruluşun, ağlarında herhangi bir fidye yazılımı dağıtılmamış olmasına rağmen, mali amaçlı olası bir saldırının parçası olarak Ağustos 2024’te devlet destekli bilgisayar korsanlığı ekibi tarafından hedef alındığını belirtti.
Play ise Ekim 2023 itibarıyla yaklaşık 300 kuruluşu etkilediği düşünülen bir fidye yazılımı operasyonu. Balonfly, Fiddling Scorpius ve PlayCrypt olarak da biliniyor.
Siber güvenlik firması Adlumin geçen yılın sonlarında operasyonun hizmet olarak fidye yazılımı (RaaS) modeline geçmiş olabileceğini açıklasa da Play’in arkasındaki tehdit aktörleri o zamandan beri karanlık web veri sızıntısı sitelerinde durumun böyle olmadığını duyurdu.
Birim 42 tarafından araştırılan olayda, Andariel’in Mayıs 2024’te güvenliği ihlal edilmiş bir kullanıcı hesabı aracılığıyla ilk erişim elde ettiğine, ardından Sliver komuta ve kontrol (C2) çerçevesini ve Dtrack adı verilen özel bir arka kapıyı kullanarak yanal hareket ve kalıcılık faaliyetlerini üstlendiğine inanılıyor. (aka Valefor ve Preft).
Birim 42, “Bu uzak araçlar, Eylül başına kadar komuta ve kontrol (C2) sunucularıyla iletişim kurmaya devam etti” dedi. “Bu sonuçta Play fidye yazılımının yayılmasına yol açtı.”
Play fidye yazılımı dağıtımından önce, kimliği belirsiz bir tehdit aktörünün aynı güvenliği ihlal edilmiş kullanıcı hesabını kullanarak ağa sızması gerçekleşti; ardından bu kişilerin kimlik bilgileri toplama, ayrıcalık yükseltme ve uç nokta algılama ve yanıt (EDR) sensörlerini kaldırma işlemlerini gerçekleştirdikleri gözlemlendi; -fidye yazılımı faaliyetleri.
Saldırının bir parçası olarak ayrıca Google Chrome, Microsoft Edge ve Brave için web tarayıcı geçmişini, otomatik doldurma bilgilerini ve kredi kartı ayrıntılarını toplayabilen truva atı haline getirilmiş bir ikili dosya da kullanıldı.
Güvenliği ihlal edilmiş kullanıcı hesabının hem Andariel hem de Play Asia tarafından kullanılması, iki izinsiz giriş seti arasındaki bağlantı, Sliver C2 sunucusu (172.96.137) ile olan iletişimden kaynaklanmaktadır.[.]224) fidye yazılımının yayılmasından önceki güne kadar devam etti. C2 IP adresi dağıtımın gerçekleştiği günden beri çevrimdışıdır.
“Jumpy Pisces’in resmi olarak Play fidye yazılımının bir ortağı mı olduğu yoksa IAB olarak mı hareket ettiği belirsizliğini koruyor [initial access broker] Unit 42, Play fidye yazılımı aktörlerine ağ erişimi satarak” diye tamamladı. “Play fidye yazılımı iddia ettiği gibi bir RaaS ekosistemi sağlamıyorsa, Jumpy Pisces yalnızca bir IAB gibi davranmış olabilir.”