Son Kuzey Kore Siber Tehdidi: KakaoTalk Üzerinden Phishing Saldırıları
Kuzey Koreli siber tehdit aktörleri, hedeflere yönelik gerçekleştirdikleri phishing saldırılarıyla, kurbanların KakaoTalk masaüstü uygulamalarına erişim sağlayarak zararlı yazılımlar dağıtmaktadır. Bu saldırıların, Güney Kore merkezli tehdit istihbarat şirketi Genians tarafından Konni adlı bir hacking grubuna atfedildiği bildirilmektedir.
Saldırı Nasıl Çalışıyor?
Saldırı, alıcıyı Kuzey Kore kar amacı gütmeyen insan hakları eğitmeni olarak atama bildiren bir oltalama e-postası aracılığıyla başlatılmaktadır. Genians Güvenlik Merkezi’nin (GSC) yaptığı açıklamaya göre:
- Oltalama e-postası başarılı olduğunda, kurban bir zararlı LNK dosyasını çalıştırmıştır.
- Bu, uzaktan erişim sağlayan zararlı yazılımın kurbanın cihazına bulaşmasına neden olmuştur.
- Zararlı yazılım, kurbanın cihazında uzun süre gizli kalmış ve iç belgeleri, hassas bilgileri çalmıştır.
Kötü niyetli aktör, ele geçirilen sistemde uzun bir süre kalmayı başarmış ve izinsiz erişimini kullanarak iç belgeleri çalmış ve KakaoTalk uygulaması üzerinden belirli kişilere zararlı yazılımları dağıtmıştır. Bu saldırı, ele geçirilen kurbanların güvenini kötüye kullanarak yeni hedeflere ulaşmakta hayli etkili olmuştur.
Etkilenen Sistemler
Saldırının, KakaoTalk uygulaması üzerinden devam eden bir hedefe yönelik çok aşamalı bir operasyon olduğu anlaşılmaktadır. Genians’a göre:
- Kuruluş, 2025 yılının Kasım ayında da KakaoTalk uygulaması üzerinden zararlı yazılımlar dağıttığı belirtilmiştir.
- Bu sefer, kurbanların arkadaş listelerindeki kişilere zararlı ZIP dosyaları göndermiş ve kurbanların Android cihazlarını uzaktan silmiştir.
Yeni saldırı kampanyası, bir ZIP dosyası içeren oltalama e-postasıyla başlamaktadır. ZIP dosyası, Windows kısayolu (LNK) içermekte ve çalıştırıldığında, uzaktan bir sunucudan sonraki aşama zararlı yazılımı indirerek sistemde kalıcılık sağlamakta ve son aşamada zararlı yazılımı çalıştırmaktadır.
Zararlı Yazılım ve Artıkları
İndirilen zararlı yazılım, EndRAT (veya EndClient RAT) adındaki bir uzaktan erişim trojanıdır (RAT) ve operatörün ele geçirilen sisteme uzaktan erişim sağlamasını mümkün kılmaktadır. Malware ile birlikte birçok zararlı dosya ve AutoIt betikleri de tespit edilmiştir.
- İlgili zararlı yazılımlar arasında RftRAT ve RemcosRAT bulunmaktadır.
- Bu, düşmanın kurbanı değeri yüksek bir hedef olarak gördüğünü göstermektedir.
Kayıtlara göre, tehdidi yönlendiren aktör, kurbanın KakaoTalk uygulamasını kullanarak diğer kişilerle doğrudan dosya paylaşımı yaparak yeni saldırılar gerçekleştirmektedir.
Çözüm ve Korunma
Bu çok aşamalı siber saldırı operasyonuna karşı alınması gereken önlemler şunlardır:
- Güncellemeleri Yükleyin: Tüm yazılımlarınızı ve özellikle güvenlik yazılımlarınızı güncel tutun.
- Şüpheli E-postalardan Kaçının: Bilinmeyen kaynaklardan gelen e-postalardaki ek dosyaları açmayın.
- Portları Kapatın: Gereksiz portları kapatın ve sadece gerekli olanları açık tutun.
- İki Faktörlü Kimlik Doğrulama Kullanın: Mevcut hesaplarınızda ek güvenlik önlemleri alın.
Son olarak, kullanıcılara önemli uyarılarda bulunmakta fayda vardır. Tehdit aktörleri, etkili bir ağ oluşturmak için kurbanların güvenini kötüye kullanabilir. Bu nedenle, sistemlerinizi sürekli izlemekte ve güvenlik açıklarınızı minimize etmekte kararlılık göstermek kritik bir öneme sahiptir.
