Konni APT ve Phishing Tehditleri
Konni APT, Kuzey Kore ile bağlantılı bir siber tehdit grubu olarak, son zamanlarda Ukrayna hükümet kurumlarını hedef alan bir phishing kampanyası ile öne çıkmaktadır. Bu kampanya, sadece Rusya ile sınırlı kalmadığını, aksine daha geniş bir hedef kitlesine yöneldiğini göstermektedir. Proofpoint adlı güvenlik firması, bu operasyonun amacının Rusya’nın işgaline dair istihbarat toplamak olduğunu belirtmektedir.
Operasyonun Geçmişi ve Hedefleri
Konni APT, 2014 yılından itibaren faaliyet gösteren bir siber casusluk grubudur. Daha önce Güney Kore, Amerika Birleşik Devletleri ve Rusya gibi ülkeleri hedef almıştır. Greg Lesnewich, Saher Naumaan ve Mark Kelly tarafından yapılan bir raporda, grubun temel ilgi alanının stratejik istihbarat toplamak olduğu ifade edilmektedir.
Phishing saldırıları genelde sahte e-postalar yoluyla gerçekleşmektedir. Bu e-postalar, genellikle Konni RAT (aynı zamanda UpDog olarak bilinir) isimli zararlı yazılımı yaymakta ve hedefleri kimlik bilgilerini ele geçirecek sayfalara yönlendirmektedir.
Saldırı Zinciri ve Yöntemler
Sonuç olarak, Konni APT tarafından gerçekleştirilen saldırı zinciri, sahte bir düşünce kuruluşunun üst düzey bir uzmanını taklit eden e-postalar içermektedir. Bu e-postalar, MEGA bulut hizmetinde barındırılan şifreli bir RAR arşivine bağlantı vermektedir. Alıcı, e-postadaki şifre ile arşivi açtığında, saldırı dizisi başlamaktadır.
RAR arşivi içerisinde, Ukraynalı eski askeri lider Valeriy Zaluzhnyi ile ilgili sahte içerikler gösteren bir CHM dosyası bulunmaktadır. Kurban, sayfadaki herhangi bir yere tıkladığında, gömülü PowerShell komutu çalışarak dış bir sunucuya bağlantı kurmakta ve ikinci aşama PowerShell yüklemesini indirmektedir.
Proofpoint ayrıca, saldırganların birden fazla phishing e-postası gönderdiklerini ve hedefin bağlantıya tıklamaması durumunda tekrar iletişim kurarak dosyaları indirmesini istediklerini ortaya koymuştur. E-postaların bir başka versiyonu, zararlı olmayan bir PDF ile birlikte bir Windows kısayol (LNK) dosyasını içermektedir. Bu LNK dosyası çalıştırıldığında, PowerShell kullanarak Base64 ile kodlanmış istihbarat toplama işlemlerini başlatmaktadır.
Sahte Güvenlik Uyarıları
Konni APT aynı zamanda Ukrayna hükümetine sahte Microsoft güvenlik uyarıları göndermekte ve ProtonMail hesapları aracılığıyla dikkat çekmektedir. Bu sahte e-postalar, kullanıcıları şüpheli oturum açma faaliyetleri hakkında bilgilendirmekte ve doğrulama amacıyla bir bağlantıya yönlendirmektedir. Credential harvesting (kimlik bilgisi toplama) sayfasının şu an için ele geçirilmediği belirtilmektedir, ancak geçmişte aynı alan adı kullanılarak Naver kullanıcı bilgileri toplanmıştır.
TA406 grubunun, Kuzey Kore liderliğinin mevcut askerlerinin riskini ve Rusya’nın daha fazla asker talep etme olasılığını değerlendirigini belirtmek önemlidir. Bu noktada, Konni APT’nin uzağı hedefleyen istihbarat toplama yöntemleri, diğer Rus gruplarının taktiksel bilgi toplama çabalarından farklılık göstermektedir.
Diğer Kuzey Koreli Tehdit Grupları
Konni APT ve Kimsuky yüksek teknolojiye sahip diğer Kuzey Koreli tehdit aktörleri arasında yer almaktadır. Özellikle Kimsuky, hükümet kurumlarına yönelik gerçekleştirdiği spear-phishing saldırılarında yüksek başarılar elde etmiştir. Bu tür saldırılar, genellikle hedeflenen kişi hakkında özel bilgiler içeren zararlı yazılımlar barındırmaktadır.
APT37, yani ScarCruft, 2025 yılına kadar Güney Koreli kuruluşlara yönelik çeşitli kampanyalar yürütmüştür. Bu gruplar, Dropbox ve PowerShell gibi meşru hizmetleri kullanarak C2 altyapısı oluşturmakta ve hedefleri yanıltmak için çeşitli teknikler geliştirmektedir.
Sonuç Olarak
Kuzey Koreli siber tehdit grupları, yönlendirilmiş stratejileri ve karmaşık saldırı yöntemleri ile siber güvenliği tehdit etmeye devam etmektedir. Konni APT’nin Ukrayna’ya yönelik son saldırıları, bu tür grupların dünya çapında ne denli aktif olduğunu gösterirken, istihbarat toplama hedeflerinin de kapsamını genişlettiğini ortaya koymaktadır. Bu tür gelişmeler, sürdürülebilir bir siber güvenlik stratejisinin gerekliliğini artırmaktadır.
