Kuzey Koreli tehdit aktörlerinin Güney Kore’ye yönelik yüksek hedefli siber saldırılarını inceliyoruz. Kaspersky’nin raporuna göre, Durian adlı Golang tabanlı kötü amaçlı yazılım, saldırılara arka kapı işlevselliği ekleyerek gerçekleştirildi. Bu saldırılar, saldırganların meşru yazılımları manipüle ederek Güney Kore’ye sızmasını sağladığı tespit edildi. Yazılımın enfeksiyon dizisini başlatmak için sunucuya bağlantı kurduğu ve kötü amaçlı dosyaların indirilmesine yol açtığı biliniyor.
Durian, zaten kötü amaçlı yazılımlar taşıyan AppleSeed ve LazyLoad gibi araçları kullanarak daha fazla kötü amaçlı yazılım tanıtmak için kullanılıyor. Tarayıcı verilerini çalan bu kötü amaçlı yazılımın, Lazarus Grubu’nun bir alt kümesi olan Andariel tarafından kullanılması, farklı tehdit aktörleri arasında işbirliği olasılığını artırıyor. Kimsuky grubu, çeşitli kötü amaçlı siber faaliyetlerle en az 2012 yılından beri faaliyet gösteriyor.
Kimsuky aktörlerinin amacı, politika analistleri ve uzmanlara zarar vermek ve Kuzey Kore rejimine değerli bilgiler sağlamak. Symantec’e göre, Kimsuky’nin Dropbox’u saldırılarında bir üs olarak kullanarak hedef odaklı kimlik avı e-postaları oluşturduğu ve bilgi çalan programlar sunduğu belirlendi.
Kuzey Kore’nin desteklediği başka bir bilgisayar korsanlığı grubu olan ScarCruft’un Güney Koreli kullanıcıları hedef alan RokRAT adlı bir programla kampanya düzenlediği tespit edildi. Bu düşman kolektifin Kuzey Kore Devlet Güvenlik Bakanlığı ile işbirliği içinde olduğu ve ülkenin çeşitli alanlarındaki gizli bilgileri toplamakla görevli olduğu söyleniyor.
Sonuç olarak, Güney Koreli kullanıcıların kısayol dosyalarının kullanılarak hedef alındığı ve bu tür saldırıların artmasının dikkat çekici olduğu belirtiliyor. ASEC, bu tür saldırıların arttığını ve Güney Kore kullanıcılarının daha dikkatli olmaları gerektiğini vurguluyor. Bu tür tehditlerle karşı karşıya kalan herkesin dikkatli olması ve güvenlik önlemlerini arttırması önemlidir.
