Kuzey Koreli hackerlar gözetim ve veri hırsızlığı amacıyla kurbanların makinelerine veri toplama implantları kurmak için havacılık ve savunma sektörlerini hedefleyen bir siber casusluk kampanyası düzenlendi. Daha önce düşünülenden daha karmaşık olan bu saldırı yaptılar.
Kuzey koreli hackerlar Avustralya, İsrail, Rusya’daki internet servis sağlayıcılarına (İSS’ler) ve Rusya ve Hindistan merkezli savunma müteahhitlerine ait IP adreslerini hedef alan saldırılar, kurbanlarını sürekli sömürü için gizlice izlemek için daha önce keşfedilmemiş bir casus yazılım aracı olan Torisma’yı içeriyordu.
McAfee araştırmacıları tarafından “Operasyon Kuzey Yıldızı” kod adı altında takip edilen, Temmuz ayında kampanyaya ilişkin ilk bulgular, savunma sektöründe çalışan çalışanları kazanç elde etmeleri için kandırmak için sosyal medya sitelerinin, hedefli kimlik avı ve sahte iş teklifleri içeren silahlı belgelerin kullanıldığını ortaya çıkardı. kuruluşlarının ağlarında bir dayanak noktası.
Saldırılar, daha önce ABD hükümeti tarafından Kuzey Kore devlet destekli tüm bilgisayar korsanlığı gruplarını tanımlamak için kullanılan bir terim olan Gizli Kobra ile ilişkilendirilmiş altyapı ve TTP’lere (Teknikler, Taktikler ve Prosedürler) görüldü.
Güvenilen Web Siteleri Engellenmiyor!
McAfee araştırmacıları Christiaan Beek ve Ryan Sherstibitoff, “C2 işlemlerini yürütmek için bu etki alanlarını kullanmak, büyük olasılıkla bazı kuruluşların güvenlik önlemlerini atlamalarına izin veriyor çünkü çoğu kuruluş güvenilen web sitelerini engellemiyor,” dedi.
Dahası, Word belgelerine gömülü olan birinci aşama implant, kurban sistem verilerini (tarih, IP Adresi, Kullanıcı-Aracı, vb.), Önceden belirlenmiş bir hedef IP adresleri listesi ile çapraz kontrol ederek değerlendirmeye devam eder. Torisma adı verilen ikinci implant, tespit ve keşif riskini en aza indirirken.
Bu özel izleme implantı, sisteme eklenen yeni sürücülerin yanı sıra uzak masaüstü bağlantılarını aktif olarak izlemeye ek olarak özel kabuk kodunu yürütmek için kullanıyor.
