Kuzey Kore'nin güvenlik araştırmacılarını hedef alan kampanyası

 (blog.google)
2 puan yazan GN⁺ 2023-09-08 | 1 yorum | WhatsApp'ta paylaş
  • Google'ın Threat Analysis Group'u (TAG), Kuzey Kore devlet destekli aktörlerinin güvenlik araştırmacılarını hedef alan süregelen bir kampanyasını bildirdi.
  • Bu kampanya ilk olarak 2021'in Ocak ayında kamuoyuna açıklandı ve zafiyet araştırması ile geliştirme alanında çalışan araştırmacıları hedef almak için 0-day açıklarından yararlanıyor.
  • TAG, bu kampanyaları iki yıldan uzun süredir izleyip engelliyor; 0-day açıklarını bularak çevrimiçi kullanıcıları koruyor.
  • TAG yakın zamanda, önceki kampanyayla benzerliklere dayanarak aynı aktörlerden gelen yeni bir kampanya tespit etti.
  • En az bir aktif 0-day, son birkaç hafta içinde güvenlik araştırmacılarını hedef almak için kullanıldı. Bu açık etkilenen tedarikçiye bildirildi ve şu anda yama sürecinde.
  • Kuzey Koreli tehdit aktörleri, hedeflerle ilişki kurmak için sosyal medya sitelerini kullanıyor; çoğu zaman uzun sohbetler yapıyor ve ortak ilgi alanları üzerinden iş birliği kurmaya çalışıyor.
  • Hedef araştırmacıyla ilişki kurulduktan sonra tehdit aktörleri, popüler yazılım paketlerine en az bir 0-day içeren kötü amaçlı dosyalar gönderiyor.
  • Başarılı bir istismarın ardından shellcode, sanal makine kontrolü yapıyor ve toplanan bilgilerle ekran görüntülerini saldırganların kontrol ettiği komuta ve kontrol alan adlarına gönderiyor.
  • Tehdit aktörleri, araştırmacıları 0-day açıklarla hedeflemenin yanı sıra, sembol bilgisi indirmede yararlı bir araç gibi görünen bağımsız bir Windows aracı da geliştirdi; ancak bu araç, saldırganların kontrol ettiği alan adlarından rastgele kod indirip çalıştırma yeteneğine de sahip.
  • TAG, bu aracın indirilmiş veya çalıştırılmış olması durumunda sistemin bilinen temiz bir durumda olduğundan emin olmak için önleyici adımlar atılmasını öneriyor; bu da işletim sisteminin yeniden kurulmasını gerektirebilir.
  • TAG, araştırma bulgularını Google ürünlerinin emniyetini ve güvenliğini artırmak için kullanıyor ve tespit edilen tüm web siteleri ile alan adlarını Safe Browsing'e ekleyerek kullanıcıların daha fazla istismar edilmesini önlüyor.
  • TAG, Gmail ve Workspace kullanıcılarına devlet destekli saldırgan uyarıları gönderiyor ve potansiyel hedeflere Chrome'un Enhanced Safe Browsing özelliğini etkinleştirmelerini ve tüm cihazlarını güncellemelerini tavsiye ediyor.
  • TAG, farkındalığı artırmak ve strateji ile tekniklere dair anlayışı geliştirmek için araştırma bulgularını güvenlik topluluğuyla paylaşmaya kararlı; bu da sektör genelinde kullanıcı korumasını güçlendirmeye katkı sağlıyor.

İlgili okumalar

1 yorum

 
GN⁺ 2023-09-08
Hacker News yorumu
  • Github’daki kötü amaçlı araç getsymbol 214 yıldız almış, ancak hiçbir uyarı bandı yok. Github’a, bunun gibi bilinen arka kapılar içeren diğer yazılımlar için de uyarı eklemesi öneriliyor.
  • Kuzey Korelilerin sınırsız internet erişimi ve İngilizce anlama becerisi olmasına rağmen, kendi devlet medyalarıyla çelişen içeriklere maruz kalmaktan nasıl kaçındıkları sorgulandı.
  • ffmpeg windows binaries gibi popüler indirme sitelerinin meşruiyetine ve devlet destekli aktörlerin gayriresmî barındırılan indirmeleri kullanma ihtimaline dair endişeler dile getirildi.
  • Kuzey Kore’nin güvenlik araştırmacılarına karşı 0day kullanmasının bir test gibi göründüğü ve hedef alınan araştırmacılardan daha fazla 0day elde etme gibi potansiyel bir avantaj taşıdığı belirtildi.
  • Son macOS güvenlik güncellemesinin tartışılan zafiyetle ilgili olduğuna dair spekülasyon yapıldı.
  • Güvenlik araştırmacılarının bilinmeyen kaynaklardan gelen Windows binary’lerini çalıştırma ihtimaline şüpheyle yaklaşıldı; bu binary’leri daha güvenli bir ortamda incelemelerinin daha olası olduğu öne sürüldü.
  • Tehdidin Kuzey Kore kaynaklı olduğunun nasıl belirlendiği soruldu.
  • dbgsymbol.com sitesinin Brave tarayıcısının Safe Browsing özelliğinde uyarıyla görünmemesine rağmen, doğrulanmış tüm site ve alan adlarının Safe Browsing’e eklendiği iddia edildi.
  • Eski bir istihbarat görevlisi, Kuzey Kore’nin teknik kabiliyetlerini ya da zeki ve çalışkan insanları devşirme yeteneğini küçümsememek gerektiği uyarısında bulundu.
  • Güvenlik alanında çalışılıyorsa, LinkedIn’de unvanı güvenlikle ilgili şekilde listelemekten kaçınılması önerildi.