MITRE bu ay Kuzey Koreli tehdit aktörleri tarafından kullanılan iki yeni teknik ekleyecek. Biri Apple’ın macOS’ündaki uygulama izinlerini düzenleyen TCC manipülasyonu, diğeri ise Windows’ta hayalet DLL ele geçirme. Kuzey Koreli bilgisayar korsanları bu teknikleri kullanarak macOS ve Windows sistemlerine erişim elde edebiliyor ve casusluk gibi faaliyetlerde bulunabiliyorlar.
TCC manipülasyonu, Kuzey Koreli bilgisayar korsanlarının son zamanlarda Mac’leri hacklemesinde önemli bir rol oynuyor. TCC, uygulama izinlerini kontrol etmek için hayati bir çerçeve sağlıyor. Ancak, SIP gibi koruma önlemleri bile kötü niyetli erişimi engelleyemeyebilir. Saldırganlar, kullanıcıları sosyal mühendislik taktikleriyle kandırarak TCC veritabanına erişebilir ve izinleri manipüle edebilir.
Diğer yandan, hayalet DLL ele geçirme tekniği ile Windows sistemlerindeki güvenlik açıklarından yararlanılıyor. Hayalet DLL’ler aslında var olmayan dosyalardır ve saldırganlar kendi kötü amaçlı DLL’lerini oluşturarak işletim sistemi tarafından yanlışlıkla yüklenebilir.
Liang, kullanıcıların sistemlerindeki uygulamaların izinlerini ve erişim düzeylerini iyi anlamaları gerektiğini vurguluyor. SIP’in etkin tutulması ve uygulamaların gereksiz izinlerinin kaldırılması önemli bir adımdır.
Windows tarafında ise, hayalet DLL’lerden korunmak için izleme çözümleri kullanılması ve proaktif uygulama kontrolleri yapılması öneriliyor.
Bu yeni tekniklerle ilgili Microsoft’a da başvuruldu ancak henüz bir yanıt alınamadı. Bu nedenle kullanıcılar ve şirketler, güvenlik önlemlerini en üst düzeye çıkararak bilgisayar korsanlarının siber saldırılarından korunabilirler. Bilgisayar korsanlarının sürekli olarak yeni ve karmaşık teknikler geliştirdiği göz önünde bulundurulmalı ve güvenlik konusunda daima dikkatli olunmalıdır.
