Kuzey Kore ile bağlantılı tehdit aktörleri, son birkaç haftadır makinelerine sızmak için belirtilmemiş bir yazılımdaki sıfır gün hatasını kullanarak siber güvenlik topluluğunu hedeflemeye devam ediyor.
Bulgular, saldırganın sosyal medya platformlarında sahte hesaplar açtığını tespit eden Google’ın Tehdit Analiz Grubundan (TAG) geldi. X (eski adıyla Twitter) ve Mastodon Potansiyel hedeflerle ilişkiler kurmak ve güven inşa etmek.
Güvenlik araştırmacıları Clement Lecigne ve Maddie Stone, “Bir vakada, bir güvenlik araştırmacısıyla ortak ilgi alanlarına ilişkin konularda işbirliği yapmaya çalışarak aylarca süren bir görüşme gerçekleştirdiler.” söz konusu. “X aracılığıyla ilk temastan sonra Signal, WhatsApp veya Wire gibi şifreli bir mesajlaşma uygulamasına geçtiler.”
Sosyal mühendislik uygulaması sonuçta popüler bir yazılım paketinde en az bir sıfır gün içeren kötü amaçlı bir dosyanın yolunu açtı. Güvenlik açığı şu anda düzeltilme aşamasındadır.
Yük, bir dizi anti-sanal makine (VM) kontrolü gerçekleştirir ve toplanan bilgileri bir ekran görüntüsüyle birlikte saldırganın kontrolündeki bir sunucuya geri iletir.
X üzerinde yapılan bir arama, şu anda askıya alınan hesabın en az Ekim 2022’den bu yana aktif olduğunu gösteriyor. serbest bırakmak için kavram kanıtı (PoC) yararlanma kodu yüksek önem ayrıcalık yükseltme kusurları Windows Çekirdeğinde örneğin CVE-2021-34514 Ve CVE-2022-21881.
Bu, Kuzey Koreli aktörlerin kurbanlara hastalık bulaştırmak için işbirliği temalı tuzaklardan yararlandığı ilk sefer değil. Temmuz 2023’te GitHub, TraderTraitor (diğer adıyla Jade Sleet) olarak takip edilen düşmanların, diğerlerinin yanı sıra siber güvenlik sektörünü hedef almak için sahte kişiler kullandığı bir npm kampanyasının ayrıntılarını açıkladı.
Microsoft’un sahibi olduğu şirket o dönemde “Bir hedefle temas kurduktan sonra, tehdit aktörü hedefi bir GitHub deposu üzerinde işbirliği yapmaya davet ediyor ve hedefi içeriğini klonlayıp yürütmeye ikna ediyor” dedi.
Google TAG ayrıca saldırganlar tarafından geliştirilen ve potansiyel ikincil enfeksiyon vektörü olarak GitHub’da barındırılan “GetSymbol” adlı bağımsız bir Windows aracı da bulduğunu söyledi. Bugüne kadar 23 kez çatallandı.
Eylül 2022’de kod barındırma hizmetinde yayınlanan ve kaldırılmadan önce birkaç kez güncellenen hileli yazılım, “indirme” olanağı sunuyor hata ayıklama sembolleri Tersine mühendisler için Microsoft, Google, Mozilla ve Citrix sembol sunucularından.”
Ancak aynı zamanda bir komut ve kontrol (C2) alanından isteğe bağlı kod indirme ve yürütme yeteneğiyle birlikte gelir.
Açıklama, AhnLab Güvenlik Acil Durum Müdahale Merkezi (ASEC) olarak geliyor. açıklığa kavuşmuş ScarCruft olarak bilinen Kuzey Koreli ulus devlet aktörünün, hassas verileri toplayabilen ve kötü niyetli talimatları yürütebilen bir arka kapı sunmak için kimlik avı e-postalarındaki LNK dosyası tuzaklarından yararlandığı belirtiliyor.
Ayrıca şu şekildedir: yeni bulgular Microsoft’tan “çok sayıda Kuzey Koreli tehdit aktörü yakın zamanda Rus hükümetini ve savunma endüstrisini – muhtemelen istihbarat toplamak için – hedef alırken, aynı zamanda Rusya’nın Ukrayna’ya karşı savaşında maddi destek sağladı.”
Çok Savunmasız: Kimlik Saldırısı Yüzeyinin Durumunun Ortaya Çıkarılması
MFA’yı başardınız mı? PAM’mi? Hizmet hesabı koruması? Kuruluşunuzun kimlik tehditlerine karşı gerçekte ne kadar donanımlı olduğunu öğrenin
Rus savunma şirketlerinin hedef alındığı geçen ay SentinelOne tarafından da vurgulanmıştı; hem Lazarus Group’un (diğer adıyla Diamond Sleet veya Labyrinth Chollima) hem de ScarCruft’un (diğer adıyla Ricochet Chollima veya Ruby Sleet), bir Rus füze mühendisliği firması olan NPO Mashinostroyeniya’yı kolaylaştırmayı amaçlayan ihlalleri ortaya çıkardı. istihbarat toplama.
İki aktörün, Kasım 2022’den Ocak 2023’e kadar Almanya ve İsrail merkezli silah üretim şirketlerine sızdıkları, ayrıca Rusya’daki bir havacılık araştırma enstitüsünün yanı sıra Brezilya, Çekya, Finlandiya, İtalya, Norveç ve İtalya’daki savunma şirketlerini tehlikeye attıkları da gözlemlendi. Yılın başından beri Polonya.
Teknoloji devi, “Bu, Kuzey Kore hükümetinin, ülkenin askeri yeteneklerini geliştirmek için yüksek öncelikli toplama gereksinimlerini karşılamak üzere aynı anda birden fazla tehdit aktörü grubunu görevlendirdiğini gösteriyor” dedi.
Bu sadece siber casusluk değil. Bu haftanın başında ABD Federal Soruşturma Bürosu (FBI) karışmış Çevrimiçi bir kumarhane ve bahis platformu olan Stake.com’dan 41 milyon dolarlık sanal para hırsızlığının arkasında Lazarus Grubu yer alıyor.
Stake.com’dan Ethereum, Binance Smart Chain (BSC) ve Polygon ağlarıyla ilişkili çalınan fonların 4 Eylül 2023’te veya buna yakın bir tarihte 33 farklı cüzdana taşındığı belirtildi.
“Kuzey Koreli siber tehdit aktörleri, (1) devletin düşmanları olarak algılanan Güney Kore, ABD ve Japonya’nın faaliyetleri hakkında istihbarat toplamayı, (2) kendi güçlerini geliştirmek için diğer ülkelerin askeri yetenekleri hakkında istihbarat toplamayı amaçlayan siber operasyonlar yürütüyor. ve (3) devlet için kripto para birimi fonları toplamak.” dedi Microsoft.