Kuzey Koreli Ulus-Devlet Aktörleri, JumpCloud Hack’te Açığa Çıktı

Kuzey Koreli ulus-devlet aktörleri, bir operasyonel güvenlik (OPSEC) hatası nedeniyle gerçek IP adreslerini ifşa ettikten sonra JumpCloud'a yapılan bir saldırıyla tekrar ortaya çıktı.

Kuzey Koreli ulus-devlet aktörleri, bir operasyonel güvenlik (OPSEC) hatası nedeniyle gerçek IP adreslerini ifşa ettikten sonra JumpCloud’a yapılan bir saldırıyla ilişkilendiriliyor. Google’ın sahip olduğu tehdit istihbaratı firması Mandiant, bu saldırıyı, Jade Sleet ve TraderTraitor adlı kümelerle muhtemelen örtüşen UNC4899 adı altında izlediği bir tehdit aktörüne bağlamıştır. UNC4899 ayrıca Kuzey Kore ile ilişkili başka bir bilgisayar korsanlığı ekibi olan APT43 ile de örtüşüyor.

Saldırganlar, gerçek çıkış noktalarını gizlemek için L2TP IPsec tünelleri kullanan Operasyonel Röle Kutuları (ORB’ler) ve ticari VPN sağlayıcılarını kullanmışlardır. Ancak, Kuzey Kore tehdit aktörlerinin bu son sekmeyi kullanmadığı veya kurbanın ağındaki operasyonlar sırasında yanlışlıkla bunu kullanmış olduğu durumlar olmuştur.

Kötü niyetli saldırı, 22 Haziran 2023’te JumpCloud aracısı aracılığıyla gerçekleştirilen bir yazılım tedarik zinciri saldırısı sırasında JumpCloud’a yönelik izinsiz girişle gerçekleşmiştir. Saldırganlar, bu saldırıda JumpCloud aracısını etkileterek kötü amaçlı bir Ruby betiği yürüterek başlangıç ​​noktasını elde etmişlerdir.

Saldırganların macOS Ventura 13.3 veya 13.4.1 sürümlerini çalıştıran dört Apple sistemi hedef almış olması, Kuzey Koreli aktörlerin bu platform için özel olarak hazırlanmış kötü amaçlı yazılımlar geliştirdiğini göstermektedir. Saldırganlar, JumpCloud’dan ödün vererek ve komut çerçevelerine kötü amaçlı kod ekleyerek ilk erişimi elde etmişlerdir. Ardından kötü amaçlı kodlar aracılığıyla daha fazla kötü amaçlı yazılım yükü indirerek ve yürüterek izleri örtmeye çalışmışlardır.

Kuzey Kore’nin siber saldırı operasyonları, kripto para birimlerini çekme ve fintech ile ilgili varlıkları hedefleme gibi finansal amaçlarla bağlantılı olduğu göz önüne alındığında, mali yönelimli olmaya devam etmektedir. Aynı zamanda, stratejik istihbarat toplamak ve jeopolitik olaylar hakkında bilgi toplamak için siber casusluk saldırıları düzenlemektedirler.

Bu tür saldırılara karşı önlem almak için kuruluşların savunma mekanizmalarını güçlendirmesi ve güvenlik açıklarını düzeltmesi önemlidir. Ayrıca, çevrimiçi ortamda çalışanlara yönelik sosyal mühendislik saldırılarına karşı farkındalığın artırılması ve güvenliği artıracak önlemlerin alınması gerekmektedir.

Kaynak: TheHackerNews

Leave a reply

20 + two =