Güney Kore Ulusal Siber Güvenlik Merkezi (NCSC), devlet destekli DPRK bilgisayar korsanlarının kötü amaçlı yazılım dağıtmak ve ağları ihlal etmek için bir VPN'in yazılım güncellemesindeki kusurları ele geçirdiği konusunda uyardı.
Kuzey Kore Devlet Başkanı Kim Jong-un'un Ocak 2023'te duyurduğu ülke çapındaki endüstriyel fabrikaların modernizasyonu projesiyle ilişkilendirilen uyarıda, bilgisayar korsanlarının Güney Kore'den ticari sırları çalmak istediklerine inanılıyor.
Bu faaliyete karışan iki tehdit grubu Kimsuky (APT43) ve Andariel (APT45), daha önce kötü şöhretli Lazarus Grubu ile bağlantılı devlet destekli aktörlerdir.
NCSC, "Bilgi Topluluğu, bu bilgisayar korsanlığı faaliyetlerini Kuzey Kore Keşif Genel Bürosu altındaki Kimsuky ve Andariel bilgisayar korsanlığı örgütlerine atfediyor ve her iki örgütün de belirli politika hedefleri için aynı sektörü aynı anda hedef almasının benzeri görülmemiş doğasına dikkat çekiyor" diye uyarıyor.
Truva Atlı Güncellemeler ve Yükleyiciler
Ocak 2024 tarihli tavsiye kararında vurgulanan ilk vakada Kimsuky, ziyaretçilere kötü amaçlı yazılım yaymak için Güney Koreli bir inşaat ticareti kuruluşunun web sitesini ele geçirdi.
ASEC tarafından Şubat ayında yayınlanan bir rapora göre, çalışanlar kuruluşun web sitesine giriş yapmaya çalıştıklarında, "NX_PRNMAN" veya "TrustPKI" adlı gerekli güvenlik yazılımını yüklemeleri istendi.
Bu truva atlı yükleyiciler, Koreli savunma şirketi "D2Innovation "a ait geçerli bir sertifika ile dijital olarak imzalanarak antivirüs kontrollerini etkili bir şekilde atlattı.
Truva atına dönüştürülmüş yazılım yüklendiğinde, kötü amaçlı yazılım ekran görüntülerini yakalamak, tarayıcılarda depolanan verileri (kimlik bilgileri, çerezler, yer imleri, geçmiş) çalmak ve GPKI sertifikalarını, SSH anahtarlarını, Yapışkan Notları ve FileZilla verilerini çalmak için de kullanıldı.
Bu kampanya Güney Koreli inşaat şirketlerinin, kamu kurumlarının ve yerel yönetimlerin sistemlerine bulaşmıştır.
NCSC'ye göre ikinci vaka Nisan 2024'te, Andariel tehdit aktörlerinin DoraRAT kötü amaçlı yazılımını yükleyen sahte yazılım güncellemelerini yayınlamak için yerel bir VPN yazılımının iletişim protokolündeki bir güvenlik açığından yararlandığı zaman meydana geldi.
"Nisan 2024'te Andariel hack grubu, yerel güvenlik yazılımındaki (VPN ve sunucu güvenliği) açıklardan faydalanarak güncelleme dosyalarını kötü amaçlı yazılımla değiştirdi ve "DoraRAT" adlı uzaktan kumandalı kötü amaçlı yazılımı inşaat ve makine şirketlerine dağıttı," diye açıklıyor NCSC danışmanlığının makineye çevrilmiş bir versiyonu.
NCSC, güvenlik açığının, tehdit aktörlerinin kullanıcıların bilgisayarlarına sahte paketler göndermesine izin verdiğini, bu paketlerin meşru sunucu güncellemeleri olarak yanlış tanımlandığını ve kötü amaçlı sürümlerin yüklenmesine izin verdiğini söylüyor.
DoraRAT, daha gizli çalışmasına olanak tanıyan minimum işlevselliğe sahip hafif bir uzaktan erişim truva atıdır (RAT).
Söz konusu saldırıda gözlemlenen varyant, makine ve ekipman tasarım belgeleri gibi büyük dosyaları çalmak ve bunları saldırganın komuta ve kontrol sunucusuna sızdırmak için yapılandırılmıştır.
NCSC, devlet destekli bilgisayar korsanları tarafından hedef alınma riski taşıyan web sitelerinin operatörlerinin Kore İnternet ve Güvenlik Ajansı'ndan (KISA) güvenlik denetimi talep etmeleri gerektiğini söylüyor.
Ayrıca, sıkı yazılım dağıtım onay politikalarının uygulanması ve son dağıtım aşaması için yönetici kimlik doğrulamasının gerekli olması tavsiye edilmektedir.
Diğer genel tavsiyeler arasında zamanında yazılım ve işletim sistemi güncellemeleri, sürekli çalışan güvenlik eğitimi ve ortaya çıkan tehditleri hızlı bir şekilde tespit etmek ve durdurmak için devlet siber güvenlik tavsiyelerinin izlenmesi yer almaktadır.