Kuzey Koreli Hackerlar Tedarik Zinciri Saldırısında Trojanlı CyberLink Yazılımını Dağıtıyor - Dünyadan Güncel Teknoloji Haberleri

Kuzey Koreli Hackerlar Tedarik Zinciri Saldırısında Trojanlı CyberLink Yazılımını Dağıtıyor - Dünyadan Güncel Teknoloji Haberleri
söz konusu Çarşamba günü yapılan bir analizde Hermit ve Labyrinth Chollima olarak adlandırılan kümelerle birleşen Diamond Sleet, Lazarus Grubu olarak da adlandırılan Kuzey Kore kökenli bir şemsiye gruba verilen isimdir

Kampanyanın Japonya, Tayvan, Kanada ve ABD’de 100’den fazla cihazı etkilediği tahmin ediliyor



siber-2

Teknoloji devi, zehirli dosyanın şirketin sahip olduğu güncellenmiş altyapıda barındırıldığını ve aynı zamanda güvenlik ürünleri tarafından yürütme ve bypass tespitine yönelik zaman penceresini sınırlamaya yönelik kontrolleri de içerdiğini söyledi ”

İlginç bir şekilde Microsoft, LambLoad kod adı verilen kurcalanmış yükleyicinin dağıtımının ardından hedef ortamlarda klavye üzerinde herhangi bir uygulamalı etkinlik tespit etmediğini söyledi ” dedi

Microsoft, “PNG dosyası, sahte bir dış PNG başlığının içinde oyulmuş, şifresi çözülmüş ve bellekte başlatılan gömülü bir veri yükü içeriyor” dedi


23 Kasım 2023Haber odasıYazılım Tedarik Zinciri Saldırısı

Kuzey Kore devleti destekli bir tehdit aktörü şu şekilde takip edildi: Elmas Karla karışık yağmur Tayvanlı bir multimedya yazılım geliştiricisi olan CyberLink tarafından bir tedarik zinciri saldırısı yoluyla alt müşterileri hedeflemek için geliştirilen meşru bir uygulamanın truva atı haline getirilmiş bir sürümünü dağıtıyor

Silahlandırılmış indirici ve yükleyici, hedef sistemi CrowdStrike, FireEye ve Tanium’a ait güvenlik yazılımının varlığı açısından inceler ve mevcut değilse, uzak bir sunucudan PNG dosyası gibi görünen başka bir veri yükü getirir

Geçtiğimiz ay Microsoft ayrıca Diamond Sleet’in JetBrains TeamCity’deki (CVE-2023-42793, CVSS puanı: 9,8) kritik bir güvenlik açığından yararlanarak savunmasız sunuculara fırsatçı bir şekilde saldırıda bulunduğunu ve ForestTiger olarak bilinen bir arka kapıyı dağıttığına da işaret etmişti

Google’ın sahibi Mandiant geçen ay yaptığı açıklamada, “O zamandan beri yaptıkları operasyonlar, Pyongyang’ın Kuzey Kore’nin çıkarlarına fayda sağlayacak stratejik istihbarat toplama çabalarının bir göstergesidir

Kuzey Kore ile olan bağlantılar, ikinci aşama veri yükünün, daha önce tehdit aktörü tarafından ele geçirilen komuta ve kontrol (C2) sunucularıyla bağlantı kurmasından kaynaklanıyor Yürütülmesinin ardından kötü amaçlı yazılım, ek yükleri almak için meşru ancak güvenliği ihlal edilmiş bir alan adıyla iletişim kurmaya çalışır

Microsoft Tehdit İstihbaratı ekibi, “Bu kötü amaçlı dosya, ikinci aşama veriyi indiren, şifresini çözen ve yükleyen kötü amaçlı kod içerecek şekilde değiştirilmiş meşru bir CyberLink uygulama yükleyicisidir” dedi

Microsoft ayrıca saldırganların bilgi teknolojisi, savunma ve medya sektörlerindeki kuruluşları hedef almak için truva atı haline getirilmiş açık kaynak ve özel yazılımlar kullandığını gözlemlediğini söyledi

Açıklamalar, Palo Alto Networks Birim 42’nin, Kuzey Koreli tehdit aktörleri tarafından hayali iş görüşmelerinin bir parçası olarak kötü amaçlı yazılım dağıtmak ve ABD ve dünyanın diğer yerlerindeki kuruluşlarda izinsiz istihdam elde etmek için tasarlanan ikiz kampanyaları ortaya çıkarmasından bir gün sonra geldi En az 2013’ten beri aktif olduğu biliniyor Değiştirilen CyberLink yükleyici dosyasıyla ilişkili şüpheli etkinlik, 20 Ekim 2023 gibi erken bir tarihte gözlemlendi “Bu aktör dünya çapında hükümeti, savunmayı, telekomünikasyonu ve finans kurumlarını hedef alıyor

TEMP