© Copyright SECLOOT 2021-2024
HomeVeri SızıntısıSiber SaldırıKuzey Koreli Ulus-Devlet Aktörleri, JumpCloud Hack’te Açığa Çıktı
Siber Saldırı

Kuzey Koreli Ulus-Devlet Aktörleri, JumpCloud Hack’te Açığa Çıktı

Kuzey Koreli ulus-devlet aktörleri, bir operasyonel güvenlik (OPSEC) hatası nedeniyle gerçek IP adreslerini ifşa ettikten sonra JumpCloud'a yapılan bir saldırıyla tekrar ortaya çıktı.
Oğuzhan Çalışkan
26/07/2023
0
46

Kuzey Koreli ulus-devlet aktörleri, bir operasyonel güvenlik (OPSEC) hatası nedeniyle gerçek IP adreslerini ifşa ettikten sonra JumpCloud’a yapılan bir saldırıyla ilişkilendiriliyor. Google’ın sahip olduğu tehdit istihbaratı firması Mandiant, bu saldırıyı, Jade Sleet ve TraderTraitor adlı kümelerle muhtemelen örtüşen UNC4899 adı altında izlediği bir tehdit aktörüne bağlamıştır. UNC4899 ayrıca Kuzey Kore ile ilişkili başka bir bilgisayar korsanlığı ekibi olan APT43 ile de örtüşüyor.

Saldırganlar, gerçek çıkış noktalarını gizlemek için L2TP IPsec tünelleri kullanan Operasyonel Röle Kutuları (ORB’ler) ve ticari VPN sağlayıcılarını kullanmışlardır. Ancak, Kuzey Kore tehdit aktörlerinin bu son sekmeyi kullanmadığı veya kurbanın ağındaki operasyonlar sırasında yanlışlıkla bunu kullanmış olduğu durumlar olmuştur.

Kötü niyetli saldırı, 22 Haziran 2023’te JumpCloud aracısı aracılığıyla gerçekleştirilen bir yazılım tedarik zinciri saldırısı sırasında JumpCloud’a yönelik izinsiz girişle gerçekleşmiştir. Saldırganlar, bu saldırıda JumpCloud aracısını etkileterek kötü amaçlı bir Ruby betiği yürüterek başlangıç ​​noktasını elde etmişlerdir.

Saldırganların macOS Ventura 13.3 veya 13.4.1 sürümlerini çalıştıran dört Apple sistemi hedef almış olması, Kuzey Koreli aktörlerin bu platform için özel olarak hazırlanmış kötü amaçlı yazılımlar geliştirdiğini göstermektedir. Saldırganlar, JumpCloud’dan ödün vererek ve komut çerçevelerine kötü amaçlı kod ekleyerek ilk erişimi elde etmişlerdir. Ardından kötü amaçlı kodlar aracılığıyla daha fazla kötü amaçlı yazılım yükü indirerek ve yürüterek izleri örtmeye çalışmışlardır.

Kuzey Kore’nin siber saldırı operasyonları, kripto para birimlerini çekme ve fintech ile ilgili varlıkları hedefleme gibi finansal amaçlarla bağlantılı olduğu göz önüne alındığında, mali yönelimli olmaya devam etmektedir. Aynı zamanda, stratejik istihbarat toplamak ve jeopolitik olaylar hakkında bilgi toplamak için siber casusluk saldırıları düzenlemektedirler.

Bu tür saldırılara karşı önlem almak için kuruluşların savunma mekanizmalarını güçlendirmesi ve güvenlik açıklarını düzeltmesi önemlidir. Ayrıca, çevrimiçi ortamda çalışanlara yönelik sosyal mühendislik saldırılarına karşı farkındalığın artırılması ve güvenliği artıracak önlemlerin alınması gerekmektedir.

Kaynak: TheHackerNews

TagsJumpCloudkötü amaçlı kodKuzey KoreOPSEC
Previous Article

Casbaneiro Kötü Amaçlı Yazılım Grubunun UAC Atlama Tekniği

Next Article

Decoy Dog Yazılımı Yeni Özelliklerle Yeniden Ortaya Çıktı

Leave a reply

19 − three =

More News

Hakkımızda

Secloot Siber Güvenlik Haber, dijital dünyada güvenliğin önemi konusunda farkındalığı artırmayı ve en son siber güvenlik haberlerini okuyucularımıza ulaştırmayı hedefleyen bağımsız bir haber platformudur. Amacımız, siber güvenlik tehditleri ve çözümleri hakkında toplumun bilgi sahibi olmasını sağlamaktır.

© Copyright Secloot 2018-2024