Kuzey Kore Devlet Destekli Bilgisayar Korsanları Yeni Kötü Amaçlı Yazılım Türünde Gazetecileri Hedef Aldı
Geçenlerde DPRK'da uzmanlaşmış gazetecileri hedef alan bir grup Kuzey Kore devlet destekli bilgisayar korsanı olan APT37, bu gazetecileri enfekte etmek için yeni bir kötü amaçlı yazılım türü yarattı.
Nitekim, Amerika Birleşik Devletleri'nde bir web sitesi olan NK News'e göre, bu kötü amaçlı yazılım kimlik avı saldırıları yoluyla dağıtıldı.
Bu sitede, ülke içinden mevcut olanlara dayanarak Kuzey Kore ile ilgili en son haberleri ve bilgileri ve analizleri bulacaksınız.
Kuzey Kore Hack Grubu APT37
APT37 grubunun, Ricochet Chollima olarak da bilinen Kuzey Kore hükümeti devlet destekli bir hack grubu olduğuna inanılıyor.
NK News, saldırıyı keşfettikten sonra daha fazla yardım için Stairwell ile iletişime geçmenin yanı sıra, teknik analizi kendi başlarına devralan Stairwell'den kötü amaçlı yazılım uzmanlarına yardım teklif etti.
Stairwell güvenlik ekibi, "Goldbackdoor" olarak bilinen yeni bir kötü amaçlı yazılım örneği keşfetti. Bu yeni kötü amaçlı yazılım örneği "Bluelight" ın halefi olarak tanımlanmıştır.
APT37 daha önce gazetecileri hedef alan kötü amaçlı yazılım kampanyalarıyla bağlantılıydı, bu yüzden bu ilk kez olmuyor.
Bu kategorideki en son rapor, son derece özelleştirilebilir arka kapı "Chinotto" nun kullanıldığı Kasım 2021'de yayınlandı.
Enfeksiyon
Kimlik avı bağlantıları içeren e-postalar, daha önce APT37 tarafından ele geçirilmiş olan Güney Kore'deki NIS'in eski direktörünün hesabından kaynaklandı.
Bu yüksek hedefli kampanya için enfeksiyon sürecinde iki aşama vardı. Tehdit aktörlerine daha fazla dağıtım seçeneği sunmanın yanı sıra, iki aşamalı bulaşmalar, güvenliği ihlal edilmiş bilgisayarlardan gelen yüklerin örneklenmesini zorlaştırdı.
LNK dosyalarını içeren ZIP arşivlerini indirmek için bir bağlantı, gazetecilere aldıkları e-postalar aracılığıyla gönderildi, 'Kang Min-chol düzenlemeleri' yazıldı ve Kang Min-chol, Kuzey Kore'deki Madencilik Endüstrileri Bakanı.
Doldurma kullanılarak, LNK dosyası bir belge simgesi olarak gizlenerek yapay olarak 282,7 MB'lık artırılmış bir uzunluk elde edilmiştir. Kullanıcıların çevrimiçi kötü amaçlı yazılım tarama aracı Virus Total'a kolayca dosya yüklemesini zorlaştırır.
Yetenekleri
Tehlikeye atılan sistemde, tehdit aktörleri aşağıda belirtilen aşağıdaki yetenekleri gerçekleştirebilir veya elde edebilir:
- Keylogging
- Dosya işlemleri
- RCE
- Kendini kaldırma
- Dosyaların sızdırma
Ve bunu yapmak için, tehdit aktörleri aşağıdaki gibi yasal bulut hizmetlerini kullanır:
- Google Drive
- Microsoft OneDrive
Goldbackdoor Tarafından Hedeflenen Belgeler ve Medya -başlık
Aşağıda Goldbackdoor tarafından hedeflenen tüm belgelerden ve medya dosyalarından bahsedilmiştir:
- DOCX
- MP3
- TXT
- M4A
- JPC
- XLS
- PPT
- BIN
- 3GP
- MSG
Infosec topluluğu, bu kadar yüksek hedefli bir kampanyadan kaynaklanan keşif, maruz kalma, algılama kuralları ve ilişkili dosya karmaları ve kontrolleri hakkında hala uzun ve zor düşünüyor.
Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.
Kaynak: Cyber Security News
