Kuzey Kore’nin en önemli yerlerinden biri Devlet destekli önde gelen tehdit grupları Son saldırılarda Play fidye yazılımını kullanmaya yönelmesi, grubun ilk kez bir yer altı fidye yazılımı ağıyla ortaklık kurduğunu gösteriyor. Araştırmacılar, bunun endişe verici bir şekilde gelecekteki yüksek etkili saldırılara zemin hazırladığını düşünüyor.
Gelişmiş kalıcı tehdidi (APT) Jumpy Pisces (diğer adıyla Nickel Hyatt, Onyx Sleet, Silent Chollima, Stonefly ve TDrop2) olarak izleyen Palo Alto Networks’ün Birim 42’sine göre Andariel şu anda Play fidye yazılımı çetesiyle çalışıyor, ancak Bunun bir ilk erişim aracısı (IAB) veya fidye yazılımı grubunun bağlı kuruluşu olup olmadığı net değil, araştırmacılar gözlemledi 31 Ekim’de bir blog yazısında. Daha önce Andariel ilişkiliydi En az 2022’den beri aktif olan “Maui” adlı bir fidye yazılımı türüyle.
Birim 42 araştırmacıları, saldırganların birkaç ay önce, Mayıs ayında, güvenliği ihlal edilmiş bir kullanıcı hesabı aracılığıyla bir ağa ilk erişim elde ettiği, geçen ay keşfedilen Play fidye yazılımı saldırısından grubun sorumlu olduğuna inanıyor. Andariel, ilk ağ ihlalinden sonra yanlamasına hareket etti ve Ünite 42’ye göre açık kaynak aracı Sliver’ı ve benzersiz özel kötü amaçlı yazılımı DTrack’i Sunucu İleti Bloğu (SMB) protokolü aracılığıyla diğer ana bilgisayarlara yayarak kalıcılığını sürdürdü. Aylar sonra, Eylül başında , Play yükünü dağıttı.
Unit 42 araştırmacıları gönderide “Taktik, teknik ve prosedürlerdeki (TTP’ler) bu değişim, daha geniş fidye yazılımı tehdit ortamına daha derin bir katılımın sinyalini veriyor” diye yazdı. “Bu gelişme, Kuzey Koreli tehdit gruplarının daha geniş fidye yazılımı kampanyalarına giderek daha fazla katılacağı ve potansiyel olarak dünya çapında daha yaygın ve zarar verici saldırılara yol açacağı gelecekteki bir eğilimin göstergesi olabilir.”
Fidye Yazılımı Geçiş Aşamasında mı?
Fiddling Scorpius olarak takip edilen bir grup tarafından bakımı yapılan ve dağıtılan Play fidye yazılımı, şöhret iddiasını şu şekilde yaptı: California’nın Oakland şehrini hedef alıyor Şubat 2023’te sakatlayıcı bir saldırıyla. Daha sonra hızla tehdit sıralamasında yükselerek oyunda önemli bir oyuncu haline geldi.
Bazı araştırmacılar, Birim 42’ye göre Fiddling Scorpius’un kendi saldırılarını kurmaktan hizmet olarak fidye yazılımı (RaaS) modeline geçiş yaptığını öne sürdü. Ancak grubun kendisi Play fidye yazılımı sızıntı sitesinde bunu yapmadığını duyurdu. Araştırmacılara göre bir RaaS ekosistemi sağlıyorlar. Eğer bu doğruysa, Andariel’in büyük olasılıkla saldırıda bir bağlı kuruluş yerine IAB olarak hareket ettiğini söylediler.
Her iki durumda da, “ağ savunucuları şunu görmeli… [the] Birim 42’ye göre, bu faaliyet yalnızca casusluk değil, fidye yazılımı saldırılarının da potansiyel bir öncüsü olarak görülüyor ve bu da daha fazla dikkatli olunması gerektiğinin altını çiziyor.”
Saldırı sekansında Andariel ile Play fidye yazılımı arasındaki işbirliğine işaret eden birkaç ipucu vardı. Birincisi, saldırganların Andariel’in Silver ve Dtrack dahil olmak üzere imza araçlarına ilk erişim ve daha sonra yayılması için kullandığı ele geçirilen hesap, fidye yazılımı dağıtımından önce kullanılan hesapla aynıydı.
Gönderiye göre, “Fidye yazılımı aktörü, Windows erişim belirteçlerini kötüye kullanmak, yatay hareket etmek ve PsExec aracılığıyla SİSTEM ayrıcalıklarına yükselmek için hesabı kullandı.” “Bu, sonunda uç nokta algılama ve yanıt (EDR) sensörlerinin toplu olarak kaldırılmasına ve Play fidye yazılımı etkinliğinin başlamasına yol açtı.”
Araştırmacılar ayrıca Play fidye yazılımının konuşlandırılmasından bir gün önce Silver kötü amaçlı yazılımıyla komuta ve kontrol (C2) iletişimini gözlemlediler. Ayrıca araştırmacılar, Play fidye yazılımı saldırılarının araçları C:\Users\Public\Music klasöründe bıraktığının bilindiğini ve Andariel saldırısında fidye yazılımı dağıtımından önce kullanılan bazı araçların da burada bulunduğunu belirtti.
Savunmacılar Artan Kuzey Kore Fidye Yazılımı Tehdidine Dikkat Edin
Andariel birkaç yıldır aktiftir ve kritik savunma, havacılık, nükleer ve mühendislik şirketlerinin yanı sıra önemli şirketleri de hedef alan bir dizi yüksek profilli saldırı gerçekleştirmiştir. küresel yönetilen hizmet sağlayıcıları.
Andariel, ülkenin yasadışı silah ticaretine karışan ve kötü niyetli siber faaliyetlerinden sorumlu olan Kuzey Kore’nin askeri istihbarat teşkilatı Keşif Genel Bürosu tarafından kontrol ediliyor. Grubun maskaralıkları, grubu başta ABD, Güney Kore, Japonya ve Hindistan olmak üzere çeşitli endüstri sektörlerine yönelik devam eden bir tehdit olarak gören ABD Ulusal Güvenlik Ajansı (NSA) da dahil olmak üzere uluslararası kolluk kuvvetlerinin dikkatini şimdiden çekti.
ABD Dışişleri Bakanlığı Adalet Ödülleri (RFJ), Andariel’in yönetim yapısında önemli bir oyuncu olan Rim Jong Hyok’a veya gruptaki herhangi bir komplocuya ulaşmasını sağlayacak bilgi için 10 milyon dolara kadar ödül bile teklif ediyor.
Dünya çapındaki kuruluşların tetikte olma ihtiyacı göz önüne alındığında, Birim 42, blog gönderisine uzlaşma göstergelerinin (IoC’ler) bir listesini ekledi. Araştırmacılar, savunucuların ağlardaki kötü amaçlı yazılımları tespit etmek için en son tehdit istihbaratından ve Andariel’in kötü amaçlı faaliyetleriyle ilişkili bilinen URL’leri ve etki alanlarını tespit etmek için gelişmiş URL filtreleme ve DNS güvenlik ürünlerinden yararlanmasını tavsiye etti.