Bugün bir danışma alanında Almanya'nın Federal İstihbarat Ajansı (BFV) ve Güney Kore Ulusal İstihbarat Servisi (NIS), Kuzey Kore hükümeti adına küresel savunma sektörünü hedefleyen devam eden bir siber ihale operasyonuna uyuyor.
Saldırılar, gelişmiş askeri teknoloji bilgilerini çalmayı ve Kuzey Kore'nin geleneksel silahları modernleştirmesine ve yeni askeri yetenekler geliştirmesine yardımcı olmayı amaçlıyor.
Bugünün Ortak Siber Güvenlik Danışmanlığı (Korece ve Almanca'da da mevcuttur), saldırganlar tarafından kullanılan taktikleri, teknikleri ve prosedürleri (TTP'ler) sağlamak için Lazarus Grubu olmak üzere Kuzey Koreli aktörlere atfedilen iki vakayı vurgulamaktadır.
Danışmanlığa göre, ilk dava, 2022'nin sonunda, "Kuzey Koreli bir siber aktör bir denizcilik ve nakliye teknolojileri için bir araştırma merkezinin sistemlerine girdiği" ve "tedarik zinciri saldırısı yürüttüğü" bir olayı ifade eder. Hedef kuruluşun web sunucusu bakım işlemlerini yöneten firma
Davetsiz misafir, SSH kimlik bilgilerini çalmayı, meşru araçları kötüye kullanmayı, ağda yanal olarak hareket ettirmeyi ve altyapıya gizli kalmaya çalışan bir saldırı zinciri izledi.
Özellikle, danışmanlık aşağıdaki saldırı adımlarını listeler:
Öncelikle BT hizmetleri sağlayıcısından ödün vererek, Kuzey Kore tehdit oyuncusu, iyi bir güvenlik duruşunu sürdüren bir organizasyona sızmayı başardı ve küçük, dikkatli adımlarda gizli saldırılar yapmak için ikisi arasındaki ilişkiden yararlandı.
Bülten, BT hizmet sağlayıcılarının uzaktan bakım için gerekli sistemlere erişimini sınırlamak, yetkisiz erişim olaylarını tespit etmek için erişim günlüklerini yakından izlemek, tüm hesaplarda çok faktörlü kimlik doğrulama (MFA) kullanmak ve katı kullanıcıyı benimsemek de dahil olmak üzere, bu saldırılara karşı çeşitli güvenlik önlemleri önermektedir. Yama Yönetim Sistemi (PMS) için kimlik doğrulama politikaları.
İkinci örnek, Lazarus Group'un Kuzey Koreli aktörlerin kripto para firmalarının ve yazılım geliştiricilerinin çalışanlarına karşı kullandığı bilinen bir taktik olan "Operasyon Dream Job" ın da savunma sektörüne karşı kullanıldığını göstermektedir.
ESET, Eylül 2023'te benzer bir olayı vurguladı ve burada Lazarus, 'Lightlesscan' arka kapısı ile sistemleri enfekte etmek için İspanya'daki bir havacılık şirketinin çalışanını hedefledi.
Güvenlik Bülteni, Lazarus'un çevrimiçi bir iş portalında mevcut bir kişinin sahte veya çalınan kişisel verilerini kullanarak bir hesap oluşturduğu ve zamanla küratörlüğünü, kampanyadaki sosyal mühendislik hedefleri için doğru kişilerle ağa bağlanması için küratörlüğünü vurguladığı bir durumu vurgular.
Daha sonra, tehdit oyuncusu bu hesabı savunma organizasyonları için çalışan kişilere yaklaşmak için kullanıyor ve İngilizce konuşmaya başlamak için onlarla bağlantı kurarak, birkaç gün, haftalar ve hatta aylar boyunca yavaş yavaş bir bağlantı kuruyor.
Mağdurun güvenini kazandıktan sonra, tehdit oyuncusu onlara bir iş sunar ve teklif hakkında ayrıntılar içeren bir belge olarak tanımlanan kötü niyetli bir PDF dosyasını paylaşabileceği harici bir iletişim kanalı önerir.
Bu dosya tipik olarak, hedefin bilgisayarına kötü amaçlı yazılım bırakan birinci aşamalı bir başlatıcıdır ve Lazarus daha sonra kurumsal ağda hareket etmek için ilk dayanak olarak kullanır.
Bazı durumlarda Lazarus, kurbanın işveren ağına erişmek için kullandıkları kötü amaçlı bir VPN istemcisi içeren bir zip dosyası gönderir.
Bunlar bilinen taktikler olsa da, kuruluşlar çalışanlarını siber saldırılardaki en son trendler hakkında eğitmedikçe başarılı olabilirler.
En az ayrıcalık ilkesini benimsemek ve çalışanların erişimini yalnızca ihtiyaç duydukları sistemlere kısıtlamak iyi bir güvenlik duruşu için başlangıç olmalıdır.
Yama yönetim sistemi için güçlü kimlik doğrulama mekanizmaları ve prosedürleri eklemek ve kullanıcı erişimini içeren denetim günlüklerinin korunması güvenlik duruşunu iyileştirmelidir.
Sosyal mühendislik saldırıları için, iki ajans çalışanları ortak taktikler konusunda eğitmenizi önerir.
Kuzey Koreli hackerlar artık Yomix Tumbler aracılığıyla çalınan kriptayı aklıyor
Çinli hackerlar Hollanda askeri ağını kötü amaçlı yazılımlarla bulaştı
Gizli KV-Botnet Kaçakları Soho Yönlendiricileri ve VPN Cihazları
Blackwood Hacker'ları Kaçırılmış WPS Office güncellemesi kötü amaçlı yazılım yüklemek için
Ivanti Connect Secure Sıfır Günleri Özel Kötü Yazılım Dağıtmak İçin Söküldü
Kaynak: Bleeping Computer