Çoklu Lisans İndirim Teklifi
Bilgisayar Güvenliği Kuzey Koreli Hackerlar Güneydoğu Asya'da Gizli...

Kuzey Koreli Hackerlar Güneydoğu Asya'da Gizli Saldırılarda Yeni VeilShell Arka Kapısını Kullanıyor

Mura'de Bilgisayar Güvenliği'de
Çevir:
Türkçe

Ürpertici yeni bir ifşada, Kuzey Kore siber casusluk grupları Güneydoğu Asya'da gizli siber saldırılar gerçekleştirmek için VeilShell adlı yeni bir arka kapı kötü amaçlı yazılımını kullanırken görüldü. Güvenlik uzmanları bu faaliyeti InkySquid, Reaper, RedEyes ve ScarCruft gibi birden fazla takma ad altında faaliyet gösteren kötü şöhretli bir hacker grubu olan APT37 ile ilişkilendirdi. Kuzey Kore Devlet Güvenlik Bakanlığı ile bağlantıları olan APT37, 2012'den beri aktif ve hükümet ve kurumsal sektörleri hedef alan karmaşık siber kampanyalarıyla kötü şöhretli.

SHROUDED#SLEEP Kampanyası

Güvenlik araştırmacıları bu son operasyona SHROUDED#SLEEP adını verdiler, bu siber suçluların gösterdiği gizlilik ve sabrı ifade eden uygun bir isim. Grubun bu kampanyayı özellikle Kamboçya ve Güneydoğu Asya'daki diğer ülkelere odaklanarak yürüttüğü düşünülüyor. Saldırganlar, uzaktan erişimli bir trojan (RAT) olan VeilShell'i kullanarak, verileri sızdırma, sistem kayıtlarını değiştirme ve görevleri gizlice planlama yeteneğiyle tehlikeye atılmış makinelerin tam kontrolünü ele geçirmeyi hedefliyor.

VeilShell Nasıl Çalışır?

Bu saldırının göze çarpan yönlerinden biri VeilShell'in hedef sistemlerine nasıl girdiğidir. İlk yükün nasıl iletildiği henüz belirsiz olsa da uzmanlar, grubun bireyleri kötü amaçlı bağlantılara tıklamaya veya virüslü dosyaları indirmeye kandırmak için oldukça hedefli bir yöntem olan mızraklı kimlik avı e-postaları kullandığından şüpheleniyor. İlk aşama yükü muhtemelen bir Windows kısayolu (LNK) dosyası içeren bir ZIP arşivi aracılığıyla iletilir.

Şüphelenmeyen kullanıcı LNK dosyasını başlattığında, bir dizi eylem tetiklenir. Windows ortamlarında yaygın olarak kullanılan bir betik dili olan PowerShell kodu, dosyanın içinde gizli olan diğer bileşenleri çıkararak perde arkasında çalışır. Şüphe uyandırmamak için saldırı, kullanıcıyı Microsoft Excel veya PDF dosyası gibi masum görünen bir belgeyle oyalarken, arka planda daha tehlikeli kötü amaçlı yazılım bileşenlerini yükler.

Gerçek tehdit, Windows başlangıç klasörüne stratejik olarak yerleştirilen ve sistem her yeniden başlatıldığında çalışarak kalıcılığı garanti eden kötü amaçlı bir dosya olan DomainManager.dll'den gelir. Bu dosya, uzaktan komut ve kontrol (C2) sunucusuyla iletişim kurarak saldırganlara enfekte cihaz üzerinde kontrol sağlar. Buradan dosyaları gözetleyebilir, hassas verileri yükleyebilir, daha fazla kötü amaçlı araç indirebilir ve hatta izlerini örtmek için dosyaları silebilir veya yeniden adlandırabilirler.

AppDomainManager Enjeksiyonu: Gizli Bir Teknik

Bu saldırıyı diğer siber saldırılardan ayıran şey, AppDomainManager enjeksiyonu adı verilen bir tekniğin akıllıca kullanılmasıdır. Kulağa karmaşık gelse de, yöntem esasen saldırganların herhangi bir alarm vermeden meşru bir program başlatıldığında kötü amaçlı kod çalıştırmalarına olanak tanır. Bu taktik yakın zamanda Çin ile bağlantılı başka bir hacker grubu tarafından kullanıldı ve bu tekniğin dünya çapında siber suçlular arasında popülerlik kazandığını gösteriyor.

Uzun Oyun: APT37 Tespitten Nasıl Kaçıyor?

Bu kampanyanın bu kadar uzun süre fark edilmemesinin bir nedeni saldırganların sabrıdır. VeilShell'i başarıyla dağıttıktan sonra, hemen etkinleştirmezler. Bunun yerine, kötü amaçlı yazılım sistem yeniden başlatılana kadar uykuda kalır. Bu gecikmeli etkinleştirme, uzun uyku süreleri (yürütmede duraklamalar) ile birleştiğinde, kötü amaçlı yazılımın geleneksel güvenlik araçları tarafından tespit edilmesini zorlaştırır. Bu teknikler, bilgisayar korsanlarının uzun süreler boyunca tespit edilmekten kaçınmalarına yardımcı olur, istihbarat toplamalarına ve tehlikeye atılmış sistemler üzerinde kontrolü sürdürmelerine olanak tanır.

Sonuçlar ve Gelecekteki Tehditler

Bu son keşif, Kuzey Kore'nin siber yeteneklerine ilişkin artan endişeye katkıda bulunuyor. APT37, Lazarus ve Kimsuky gibi grupların hepsi casusluk, finansal kazanç ve sabotajı hedefleyen devlet destekli siber saldırılarla ilişkilendirildi. VeilShell gibi gelişmiş araçların kullanımının artmasıyla, bu gruplar küresel siber güvenlik ortamı için önemli bir tehdit oluşturuyor.

Uzmanlar, Kuzey Koreli hack gruplarının ABD ve Avrupa dahil olmak üzere birden fazla bölgeyi hedef alma geçmişine sahip olması nedeniyle, bu kampanyanın Güneydoğu Asya'nın ötesine kolayca yayılabileceği konusunda uyarıyor. Aslında, VeilShell keşfinden sadece birkaç gün önce, Andariel olarak bilinen başka bir Kuzey Koreli grup, finansal olarak motive edilmiş bir kampanyayla ABD kuruluşlarına saldırılar başlattı.

VeilShell ve Benzeri Tehditlere Karşı Koruma

Kuruluşlar ve bireyler için bu, spear-phishing girişimlerine karşı dikkatli olmanın ve tüm sistemlerin en son güvenlik yamalarıyla düzenli olarak güncellendiğinden emin olmanın önemini vurgular. Bu tür saldırıların riskini azaltmak için birkaç ipucu:

  1. Beklenmeyen e-postalara karşı dikkatli olun: Beklemediğiniz bir dosya eki veya bağlantı içeren bir e-posta alırsanız, tıklamadan önce iki kez düşünün.
  2. Yazılımlarınızı güncel tutun: İşletim sistemlerine ve uygulamalara düzenli olarak yama uygulamak, saldırganların istismar ettiği güvenlik açıklarını kapatmaya yardımcı olabilir.
  • Antivirüs yazılımı kullanın: Her ne kadar tam anlamıyla güvenli olmasa da iyi bir antivirüs programı birçok yaygın tehdidi tespit edip engelleyebilir.
  • İki faktörlü kimlik doğrulamayı (2FA) etkinleştirin: Ek bir güvenlik katmanı eklemek, saldırganların parolanızı çalsalar bile erişim sağlamasını zorlaştırır.

    • Sonuç olarak, VeilShell kötü amaçlı yazılımı ve SHROUDED#SLEEP kampanyası, siber güvenlik dünyasındaki sürekli gelişen tehditlerin çarpıcı hatırlatıcılarıdır. Dikkatli kalarak ve proaktif güvenlik önlemleri alarak, bireyler ve işletmeler bu tehlikeli aktörlerin bir adım önünde kalabilirler.

    Yükleniyor...