Microsoft, “Hesabı oluşturduktan sonra tehdit aktörü, hesabı net kullanım aracılığıyla Yerel Yöneticiler Grubuna ekler” dedi
Diamond Sleet tarafından kullanılan iki saldırı yolundan birinde, TeamCity sunucularının başarılı bir şekilde ele geçirilmesinin ardından, daha önce tehdit aktörü tarafından tehlikeye atılan meşru altyapıdan ForestTiger adı verilen bilinen bir implantın konuşlandırılması geliyor
“Kuzey Kore’nin, Singapur, Vietnam ve Hong Kong da dahil olmak üzere dünya çapındaki altyapı çevresinde kripto para birimini hacklemesinin, füze programının ilerlemesini finanse etmek için kullanılan rejim için önemli bir gelir kaynağı olduğuna ve çok daha büyük olduğuna kesinlikle inanıyoruz
19 Ekim 2023Haber odası
Microsoft’a göre Kuzey Koreli tehdit aktörleri, savunmasız sunuculara fırsatçı bir şekilde sızmak için JetBrains TeamCity’deki kritik bir güvenlik açığından aktif olarak yararlanıyor , TightVNC ve MiniNuke) kurban sistemlerine el koymak ve bilgi sızdırmak
Yıllar geçtikçe Lazarus grubu, kripto para birimi soygunları ve tedarik zinciri saldırıları yoluyla finansal suç ve casusluk saldırılarını eşit ölçüde düzenleyen, şu anda aktif olan en zararlı ve sofistike gelişmiş kalıcı tehdit (APT) gruplarından biri haline geldi
Bir diğer dikkate değer güvenlik ihlali sonrası eylem, saldırgan tarafından kontrol edilen krtbgt hesabının, güvenliği ihlal edilen cihazda uzak masaüstü protokolü (RDP) aracılığıyla oturum açmak için kullanılması ve diğer tehdit aktörlerinin erişimini engellemek amacıyla TeamCity hizmetinin sonlandırılmasıdır
Bu, montajı içerir sulama deliği saldırıları Bulaşmaları etkinleştirmek için INISAFE ve MagicLine ürünlerindeki güvenlik kusurlarını silah haline getiren, belirtilmemiş bir haber sitesindeki belirli bir makaleye sahte bir bağlantı eklemek, bir taktiktir
Her iki tehdit faaliyeti kümesinin de Lazarus Grubu olarak bilinen kötü şöhretli Kuzey Kore ulus devlet aktörünün parçası olduğunu belirtmekte fayda var Geçen yıl çok sayıda fırlatma gördük,” ABD Ulusal Güvenlik Danışman Yardımcısı Anne Neuberger, söz konusu
Saldırıların ikinci bir çeşidi, bir sonraki aşamayı yürütmek için DLL arama sırası ele geçirme olarak adlandırılan bir teknik aracılığıyla yüklenen kötü amaçlı bir DLL’yi (DSROLE önceden ile ilişkili Lazarus Grubu yük veya uzaktan erişim truva atı (RAT)
CVE-2023-42793’ün (CVSS puanı: 9,8) kötüye kullanılmasını gerektiren saldırılar, atfedilen Diamond Sleet (diğer adıyla Labyrinth Chollima) ve Onyx Sleet (diğer adıyla Andariel veya Silent Chollima) ” söz konusubilgisayar korsanlığı ekibini Dream Magic Operasyonu kod adlı başka bir kampanyaya dahil ediyor ”
Saldırılar daha sonra, tehlikeye atılan ana bilgisayar ile saldırganın kontrol ettiği altyapı arasında kalıcı bir bağlantı kurulmasına yardımcı olan HazyLoad adlı özel bir proxy aracının konuşlandırılmasına yol açıyor
Microsoft, saldırganın belirli durumlarda her iki saldırı dizisindeki araç ve tekniklerin birleşiminden yararlandığına tanık olduğunu söyledi
Öte yandan, Onyx Sleet tarafından gerçekleştirilen izinsiz girişler, JetBrains TeamCity hatasının istismar edilmesiyle sağlanan erişimi kullanarak, muhtemelen Kerberos Bilet Verme Biletini taklit etmeyi amaçlayan krtbgt adında yeni bir kullanıcı hesabı oluşturuyor
Güney Koreli siber güvenlik firması, “Lazarus grubu, hedef odaklı kimlik avı ve tedarik zinciri saldırıları gibi çeşitli saldırı vektörlerini kullanan, dünya çapında oldukça aktif olan çok tehlikeli gruplardan biridir
Bu gelişme, AhnLab Güvenlik Acil Durum Müdahale Merkezi’nin (ASEC), Lazarus Grubunun, virüs bulaşmış sistemleri kontrol etmek için arka kapılara hizmet veren bir kanal görevi gören Volgmer ve Scout gibi kötü amaçlı yazılım ailelerini kullanmasını ayrıntılarıyla anlatmasıyla ortaya çıktı “Tehdit aktörü ayrıca güvenliği ihlal edilmiş sistemlerde çeşitli sistem keşif komutları çalıştırıyor dll veya FeedLoad) almak için ilk dayanağı kullanır
Kuzey Kore’nin gelişen saldırı programlarının bir başka işareti olarak ASEC, atfedilen Kimsuky (diğer adıyla APT43) olarak bilinen başka bir tehdit aktörü, çeşitli uzak masaüstü araçları ve VNC yazılımları (örn dll, diğer adıyla RollSling veya Version
siber-2