Giriş
Kuzey Kore ile ilişkili siber tehdit aktörleri, Güney Kore’deki kuruluşları hedef alan çok aşamalı saldırılarda GitHub’ı komut ve kontrol (C2) altyapısı olarak kullanmaktadır. Bu saldırılar, kurumsal güvenlik için ciddi bir risk oluşturmakta ve tehdit aktörlerinin yeni yöntemlerle nasıl evrim geçirdiğini göstermektedir.
Saldırı Nasıl Çalışıyor?
Saldırı zinciri, CVE kodlarıyla işaretlenmiş ve güvenlik araştırmalarıyla desteklenmiş olan obfuscated Windows kısayol dosyaları (LNK) aracılığıyla başlatılmaktadır. Bu LNK dosyaları genellikle phishing e-postaları aracılığıyla dağıtılmaktadır. Aşağıdaki aşamalar, bu saldırıların nasıl çalıştığını özetlemektedir:
- Kurban, payload’ları indirdikten sonra bir PDF belgesini görüntülerken, kötü amaçlı PowerShell scripti arka planda çalışmaya başlar.
- PowerShell scripti, sanal makineler, hata ayıklayıcılar ve adli analiz araçlarına dair çalışan süreçleri kontrol eder.
- Bu süreçler tespit edilirse, script hemen sonlanır.
- Script çalışmazsa, bir Visual Basic Script (VBScript) çıkararak, her 30 dakikada bir PowerShell yükünü başlatan bir zamanlayıcı görevi oluşturur.
Etkilenen Sistemler
Saldırıların hedef aldığı sistemler, Windows tabanlı bilgisayarlar olup özellikle olgun güvenlik önlemleri bulunmayan kuruluşlara yöneliktir. Saldırganların kullandığı belirli GitHub hesapları şunlardır:
- motoralis
- God0808RAMA
- Pigresy80
- entire73
- pandora0009
- brandonleeodd93-blip
Saldırılarda kullanılan teknikler, kullanıcıların güven algısını istismar etmekte ve kurumsal sistemlere sürekli erişim sağlamaktadır.
Çözüm ve Korunma
Korsan yazılımların kullanımını en aza indirmek için aşağıdaki adımları takip edebilirsiniz:
- Güvenlik yazılımlarınızı güncel tutun ve düzenli taramalar yapın.
- E-posta filtreleme sistemlerinizi iyileştirerek phishing saldırılarına karşı daha etkili hale getirin.
- Sistemlerde düzenli güncellemeleri yaparak bilinen açıkları kapatın.
- Sunucularınızda GitHub’dan gelen istekleri sıkı bir şekilde kontrol edin.
- Çalışanlarınıza sosyal mühendislik saldırılarına karşı eğitim verin.
Sonuç
Bu tür tehditlerle karşılaşmamak için kuruluşlarınızı koruma altına almanız son derece önemlidir. Derhal sistemlerinizi güncelleyin, kullanılan portları sıkı bir şekilde denetleyin ve güvenlik önlemlerini iki katına çıkarın. Herhangi bir saldırı durumu ile karşılaştığınızda, güvenlik ekibinizle acil durum planlarını devreye alın.
