Microsoft ayrıca saldırganların bilgi teknolojisi, savunma ve medya sektörlerindeki kuruluşları hedef almak için truva atı haline getirilmiş açık kaynak ve özel yazılımlar kullandığını gözlemlediğini söyledi
Google’ın sahibi Mandiant geçen ay yaptığı açıklamada, “O zamandan beri yaptıkları operasyonlar, Pyongyang’ın Kuzey Kore’nin çıkarlarına fayda sağlayacak stratejik istihbarat toplama çabalarının bir göstergesidir
Geçtiğimiz ay Microsoft ayrıca Diamond Sleet’in JetBrains TeamCity’deki (CVE-2023-42793, CVSS puanı: 9,8) kritik bir güvenlik açığından yararlanarak savunmasız sunuculara fırsatçı bir şekilde saldırıda bulunduğunu ve ForestTiger olarak bilinen bir arka kapıyı dağıttığına da işaret etmişti
Açıklamalar, Palo Alto Networks Birim 42’nin, Kuzey Koreli tehdit aktörleri tarafından hayali iş görüşmelerinin bir parçası olarak kötü amaçlı yazılım dağıtmak ve ABD ve dünyanın diğer yerlerindeki kuruluşlarda izinsiz istihdam elde etmek için tasarlanan ikiz kampanyaları ortaya çıkarmasından bir gün sonra geldi Hermit ve Labyrinth Chollima olarak adlandırılan kümelerle birleşen Diamond Sleet, Lazarus Grubu olarak da adlandırılan Kuzey Kore kökenli bir şemsiye gruba verilen isimdir En az 2013’ten beri aktif olduğu biliniyor Yürütülmesinin ardından kötü amaçlı yazılım, ek yükleri almak için meşru ancak güvenliği ihlal edilmiş bir alan adıyla iletişim kurmaya çalışır ”
İlginç bir şekilde Microsoft, LambLoad kod adı verilen kurcalanmış yükleyicinin dağıtımının ardından hedef ortamlarda klavye üzerinde herhangi bir uygulamalı etkinlik tespit etmediğini söyledi ” dedi “Bu aktör dünya çapında hükümeti, savunmayı, telekomünikasyonu ve finans kurumlarını hedef alıyor
Microsoft, “PNG dosyası, sahte bir dış PNG başlığının içinde oyulmuş, şifresi çözülmüş ve bellekte başlatılan gömülü bir veri yükü içeriyor” dedi
Kampanyanın Japonya, Tayvan, Kanada ve ABD’de 100’den fazla cihazı etkilediği tahmin ediliyor
Silahlandırılmış indirici ve yükleyici, hedef sistemi CrowdStrike, FireEye ve Tanium’a ait güvenlik yazılımının varlığı açısından inceler ve mevcut değilse, uzak bir sunucudan PNG dosyası gibi görünen başka bir veri yükü getirir
Kuzey Kore ile olan bağlantılar, ikinci aşama veri yükünün, daha önce tehdit aktörü tarafından ele geçirilen komuta ve kontrol (C2) sunucularıyla bağlantı kurmasından kaynaklanıyor söz konusu Çarşamba günü yapılan bir analizde
siber-2
Microsoft Tehdit İstihbaratı ekibi, “Bu kötü amaçlı dosya, ikinci aşama veriyi indiren, şifresini çözen ve yükleyen kötü amaçlı kod içerecek şekilde değiştirilmiş meşru bir CyberLink uygulama yükleyicisidir” dedi
TEMP
23 Kasım 2023Haber odasıYazılım Tedarik Zinciri Saldırısı
Kuzey Kore devleti destekli bir tehdit aktörü şu şekilde takip edildi: Elmas Karla karışık yağmur Tayvanlı bir multimedya yazılım geliştiricisi olan CyberLink tarafından bir tedarik zinciri saldırısı yoluyla alt müşterileri hedeflemek için geliştirilen meşru bir uygulamanın truva atı haline getirilmiş bir sürümünü dağıtıyor
Teknoloji devi, zehirli dosyanın şirketin sahip olduğu güncellenmiş altyapıda barındırıldığını ve aynı zamanda güvenlik ürünleri tarafından yürütme ve bypass tespitine yönelik zaman penceresini sınırlamaya yönelik kontrolleri de içerdiğini söyledi Değiştirilen CyberLink yükleyici dosyasıyla ilişkili şüpheli etkinlik, 20 Ekim 2023 gibi erken bir tarihte gözlemlendi