Amerikan Siber Güvenlik Şirketi Knowbe4, yakın zamanda ana yazılım mühendisi olarak işe aldığı bir kişinin, cihazlarına bilgi çalmaya çalışan Kuzey Koreli bir devlet oyuncusu olduğu ortaya çıktı.
Firma zamanında kötü niyetli eylemleri tespit etti ve durdurdu, bu nedenle veri ihlali gerçekleşmedi. Bununla birlikte, dava, Kuzey Kore tehdit aktörlerinin BT personeli olarak poz verdiği sürekli tehdidi vurgulamaktadır, bu da FBI'ın 2023'ten bu yana tekrar tekrar uyardığı bir şey.
DPRK, yüzlerce Amerikan firması tarafından işe alınmak için gerçek kimliklerini gizleyen son derece organize bir BT işçisi ordusunu sürdürüyor.
Bu işçiler tarafından üretilen gelir, ülkenin silah programlarını ve siber operasyonları finanse etmek ve istihbarat toplamak için kullanılır.
Tehdit oyuncusunu işe almadan önce Knowbe4 arka plan kontrolleri yaptı, sağlanan referansları doğruladı ve gerçek bir kişi olmalarını sağlamak için dört video röportajı gerçekleştirdi ve yüzünün CV'sindeki ile eşleşti.
Bununla birlikte, daha sonra kişinin ön çekleri atlatmak için bir ABD kişinin çalınan kimliğini sunduğu ve ayrıca video konferans görüşmeleri sırasında bir profil resmi oluşturmak ve bu yüzü eşleştirmek için AI araçlarını kullandığı belirlendi.
Güvenlik farkındalık eğitimi ve kimlik avı simülasyonları konusunda uzmanlaşmış KnowBe4, EDR ürününün yeni işe alımına yeni gönderilen MAC iş istasyonundan kötü amaçlı yazılım yükleme girişiminde bulunduğunda 15 Temmuz 2024'te bir şeyler kapalı olduğundan şüphelenildi.
Bir KnowBe4 sözcüsü, BleepingComputer'a kötü amaçlı yazılımın web tarayıcılarında depolanan verileri hedefleyen bir Infostealer olduğunu ve haydut çalışanın kendisine devreye alınmadan önce bilgisayarda kalan bilgileri çıkarmayı umduğunu söyledi.
"Saldırgan, bir BT departmanının ilk sunum süreci sonucunda önceki tarayıcı oturumlarından kalan herhangi bir kimlik bilgilerini bulmak veya daha önce farklı bir çalışana verilen eksik veya uygunsuz bir şekilde silinmiş bir dizüstü bilgisayardan bilgi almak için bunu kullanabilir." KnowBe4 sözcüsü BleepingComputer'a söyledi.
Firmanın BT personeli tarafından faaliyet hakkında karşılaştığında, devlet oyuncusu başlangıçta mazeretler öngördü, ancak kısa süre sonra tüm iletişimi durdurdu.
"Bu uyarılar KnowBe4'in SOC ekibine geldiğinde, anormal aktivite ve olası neden hakkında bilgi almak için kullanıcıya ulaştı. XXXX (Tehdit Oyuncu) SOC'a, bir hız sorunu sorun gidermek için yönlendirici kılavuzundaki adımları takip ettiğini ve bir uzlaşmaya neden olabilir.
Saldırgan, oturum geçmişi dosyalarını manipüle etmek, potansiyel olarak zararlı dosyaları aktarmak ve yetkisiz yazılımı yürütmek için çeşitli eylemler gerçekleştirdi. Kötü amaçlı yazılımları indirmek için bir Raspberry Pi kullandı. SOC, onu bir çağrı almak da dahil olmak üzere XXXX'ten daha fazla ayrıntı almaya çalıştı. XXXX, bir çağrı için müsait olmadığını ve daha sonra tepkisiz olduğunu belirtti. "
KnowBe4 CEO'su Stu Sjouwerman'ın bir yazısı, planın işvereni işgalini, dolandırıcının uygulamalarında ev adresleri olarak ilan ettiği konuma dayanan bir "It Mule dizüstü bilgisayar çiftliğine" göndermek için kandırmayı içerdiğini açıklıyor.
Daha sonra gece boyunca bu cihaza bağlanmak için VPN kullanırlar, bu yüzden ABD zamanlarında çalışıyormuş gibi görünüyor ve onlara verilen görevleri normal olarak gerçekleştiriyorlar.
Bu riski azaltmak için KnowBe4, firmaların en kritik ağ parçalarından izole edilmiş yeni işe alımlar için bir kum havuzu tuttuğunu ileri sürmektedir.
Şirket ayrıca, yeni işe alımın dış cihazlarının uzaktan kullanılmamasını ve nakliye adresi tutarsızlıklarını kırmızı bir bayrak olarak ele almasını sağladığını söylüyor.
US, Maui Fidye Yazılımı Saldırılarına Bağlı DPRK Hacker hakkında ipuçları için 10 milyon dolar sunuyor
Fransız polisi PUTX TEMİZLEME KENDİ YAZI KENDİ YAZILI BAĞLI BAĞLI PCS'ye yük
Kötü amaçlı yazılım dağıtım hizmeti tarafından kullanılan 3.000'den fazla GitHub hesabı
Frostygoop kötü amaçlı yazılım saldırısı kışın Ukrayna'da ısıyı kesti
Çinli bilgisayar korsanları yeni Macma MacOS Backdoor sürümünü dağıtıyor
Kaynak: Bleeping Computer