Microsoft’taki araştırmacılar, havacılık, eğitim ve yazılım kuruluşlarına ve geliştiricilere karşı farklı saldırı tekniklerinden oluşan bir paket kullanarak casusluk ve finansal siber saldırıları eş zamanlı olarak gerçekleştiren Kuzey Koreli bir tehdit grubunu tespit etti.
Başlangıçta, Microsoft bir blog yazısında açıkladıAytaşı Karla karışık yağmuru, bilinen Kuzey Kore gelişmiş kalıcı tehdidi (APT) ile büyük ölçüde örtüşüyordu Elmas Karla karışık yağmur. İlki, ikincisinin kötü amaçlı yazılımından kurtuldu – tıpkı Geri Dönüş Truva Atı — yanı sıra altyapısı ve tercih edilen teknikleri — örneğin Truva atı haline getirilmiş yazılımın sosyal medya aracılığıyla sunulması gibi. Ancak Moonstone Sleet o zamandan bu yana kendisini farklılaştırdı, kendi altyapısına geçti ve kendisi için düzensiz olsa da benzersiz bir kimlik oluşturdu.
Öncelikle Kim Jong-Un’un bazı tehdit gruplarının casusluğa odaklanmak ve diğerleri para çalmaya odaklan, Moonstone Sleet her ikisini de yapıyor. Her pastaya el atması, çeşitli durumlarda sahte iş teklifleri, özel fidye yazılımları ve hatta tamamen işlevsel sahte bir video oyunu içeren taktiklere, tekniklere ve prosedürlere (TTP’ler) de yansıyor.
DoControl kurucu ortağı ve CEO’su Adam Gavish, “Moonstone Sleet’in geleneksel siber suç metodolojilerini ulus devlet aktörlerininkilerle harmanlama yeteneği özellikle endişe verici” diyor. “Sahte şirketler kurmaktan özel fidye yazılımı sunmaya ve doğrudan sızma için güvenliği ihlal edilmiş araçları kullanmaya kadar uzanan çok yönlü stratejileri, savunma önlemlerini karmaşık hale getiren çok yönlülüğü sergiliyor.”
Moonstone Sleet’in TTP’lerle dolu Paketi
Gavish’e göre, “Öne çıkan taktiklerden biri, LinkedIn ve Telegram gibi güvenilir platformları kullanmaları ve kurbanları hedeflemek için geliştiricilerin serbest çalışan web sitelerini kullanmalarıdır. Bu, bu platformlarla ilişkili doğal güveni istismar ederek, kurbanları birbirleriyle etkileşime girmeleri için kandırmalarını kolaylaştırır. Kötü amaçlı içerik.”
Gerçekçiliğe katkıda bulunmak için Moonstone Sleet, ortak Kuzey Kore stratejisi Mağdurlarla görünürde meşru bir şirketin bakış açısıyla iletişim kurmak.
Örneğin bu yılın Ocak ayından Nisan ayına kadar grup “StarGlow Ventures” adında bir yazılım geliştirme şirketi kılığına girdi. StarGlow Ventures, şık bir özel alan adı, oluşturulmuş çalışanlar ve sosyal medya hesaplarıyla birlikte yazılım ve eğitim sektörlerindeki binlerce kuruluşu hedef aldı. Sahte şirket, kimlik avı e-postalarında kurbanlarını övdü ve gelecek projelerde işbirliği yapmayı teklif etti.
Diğer durumlarda grup, özellikle yaratıcı bir hileyi yaymak için başka bir sahte şirket olan CC Waterfall’ı kullandı.
Moonstone Sleet, Şubat ayından bu yana CC Waterfall’dan gelen e-postalarda kurbanlara video oyunu indirmeleri için bir bağlantı gönderiyor. DeFiTankWar, DeTankZone veya TankWarsZone olarak da adlandırılan “DeTankWar”, topluluk odaklı, kazanmak için oyna Tank savaşı oyunu. Kendi web siteleri var ve onu tanıtmak için kullanılan sahte kişiler için X hesapları var.
Dikkat çekici bir şekilde, DeTankWar tamamen işlevsel (atavistik olsa da) bir video oyunudur. Ancak kullanıcılar uygulamayı başlattığında, “YouieLoad” adı verilen özel bir yükleyiciyle kötü amaçlı DLL’leri de indiriyorlar. YouieLoad, kötü amaçlı yükleri belleğe yükler ve kurban makineleri araştırıp veri toplayan hizmetler oluşturur ve sahiplerinin ekstra uygulamalı komut yürütme gerçekleştirmesine olanak tanır.
Köstebek Vur Siber Savunması
Sahte şirketler ve sahte video oyunları, Moonstone Sleet’in hilelerinden sadece birkaçı. Üyeleri aynı zamanda uzaktan teknoloji işleri için işe alınmaya çalışın gerçek şirketlerle. Kötü niyetli npm paketlerini LinkedIn ve serbest çalışan web sitelerine yayar. Milyonlarca dolar değerinde Bitcoin talep etmek için NotPetya’dan kopardığı bir fidye notuyla birlikte kullandığı FakePenny adlı kendi fidye yazılımı var.
Gavish, bu kadar çeşitli TTP’ler ve kötü amaçlı araçlar karşısında şöyle diyor: “Cevap temelde diğer tehditlerle aynı: Savunucuların çok katmanlı bir güvenlik duruşu benimsemesi gerekiyor. Bu, uç nokta koruması, ağ izleme ve tehdidin bir kombinasyonunu içeriyor anormal faaliyetleri erken tespit etmek ve bunlara yanıt vermek için avlanıyor.” Microsoft, blogunda benzer şekilde geniş bir duruş sergileyerek ağ ve kurcalama korumalarını, uç nokta tespitini ve müdahalesini (EDR) ve kuruluşların siber savunmalarını katmanlandırmak için atabilecekleri daha fazla adımı vurguladı.
“Sonuçta” diyor Gavish, “Aytaşı Karla karışık yağmuru gibi tehditlerin dinamik doğası, siber güvenliğe yönelik teknik savunmayı stratejik zeka ve sürekli ihtiyatla dengeleyen bütünsel ve uyarlanabilir bir yaklaşım gerektiriyor.”
