Kuzey Kore devletiyle bağlantıları olan bir hack grubu, bir siber güvenlik raporuna göre, ABD teknoloji şirketi Google ve Güney Kore’nin web portalı Naver’ın işlettiği çevrimiçi reklam ağlarını kullanarak habersiz kullanıcılara kötü amaçlı yazılım ulaştırdı. Araştırmacılar tarafından “Operation Poseidon” olarak takip edilen kampanya, güvenlik filtrelerini aşan ve kötü amaçlı yazılım dağıtımını gizleyen kötü amaçlı bağlantılar oluşturmak için meşru reklam URL’leri kullandı.
Faaliyet, Güney Kore merkezli bir siber güvenlik firması tarafından analiz Genians Security Center edildi. Rapor, operasyonu, Pyongyang destekli siber operasyonlarla bağlantılı gelişmiş ve kalıcı bir tehdit grubu olan Konni’ye atfediyor. Araştırmacılar, saldırganların, çevrimiçi reklam altyapısının normal bir parçası olan reklam tıklama takip ve yönlendirme sistemlerine kötü amaçlı yazılım dağıtım mekanizmaları yerleştirdiklerini buldular.
Saldırganlar, açıkça kötü amaçlı alan adlarında kötü amaçlı yazılım barındırmak yerine, Google ve Naver’da görünüşte meşru reklam bağlantılarıyla başlayan yönlendirme zincirlerini kullandılar. Bu bağlantılar, kurbanları saldırgan kontrolündeki sunuculara yönlendirerek kötü amaçlı yazılım çalıştırmasını başlatmadan önce bir dizi yönlendirme yoluyla yönlendiriyordu. Bu yöntem, bağlantıların web trafiğini tehdit açısından inceleyen geleneksel güvenlik kontrollerinden kaçınmasını sağladı.
Kampanyada tespit edilen kötü amaçlı yazılım yükü, gizli bir şekilde teslim edilen bir uzaktan erişim aracı olan EndRAT’tı. Saldırganlar, zararsız bir PDF dosyası kılığına giren bir AutoIt betiği kullanarak zararlı yazılımı mağdur sistemlerde çalıştırdı. Araştırmacılar, operasyonun bir düzeyde teknik sofistike gösterdiğini, hackerların kullandığı araç setinin sürekli bakım ve evrimini gösteren geliştirme tanımlayıcıları da içerdiğini belirtti.
Saldırganların stratejisinin bir parçası, meşruiyet algısını artırmak için sosyal mühendislik tekniklerini içeriyordu. Rapora göre, operasyonla ilişkili e-postalar, otomatik tespit sistemlerini karıştırmak ve filtrelerin mesajları kötü niyetli olarak işaretleme olasılığını azaltmak için uzun alakasız İngilizce metin blokları içeriyordu.
Genians’ın analizi, gözlemlenen faaliyeti Konni’nin önceki kampanyalarıyla altyapı ve kötü amaçlı yazılım bileşenlerindeki örtüşmelere dayanarak ilişkilendirdi. Raporda, grubun sosyal mühendislik saldırıları geçmişi olduğu belirtildi; bunlar arasında Güney Kore’deki insan hakları grupları ve finansal kurumlar gibi kuruluşların takliti de vardı.
Güvenlik araştırmacıları, tehdit aktörlerinin güvenilir platformlar ve tanıdık iş akışları kullanarak kötü amaçlı yazılım yaymak ve tespit edilmemek için daha geniş bir eğilimi belgelediler. Kuzey Kore bağlantılı gruplarla ilgili son bazı olaylarda, kötü niyetli aktörler QR kodları gibi araçları kullanarak spear-phishing kampanyalarında kurbanları mobil cihazlardaki zararlı içeriğe yönlendirerek kurumsal güvenlik kontrollerini aştılar.
Operasyon, karmaşık çevrimiçi reklam ekosistemlerini kötüye kullanıma karşı korumadaki zorlukları vurguluyor. Reklam platformları genellikle zararlı faaliyetleri gizlemek için kötü niyetli aktörler tarafından yeniden kullanılabilen yönlendirme ve takip mekanizmalarına dayanır. Rapor, meşru görünen reklam altyapısında kötü niyetli trafiği tespit edip engelleyebilen gelişmiş izleme ve tehdit tespit yeteneklerine olan ihtiyacı vurguluyor.
Kuzey Kore gruplarına atfedilen devlet bağlantılı siber operasyonların daha geniş bağlamı, spear-phishing, casus yazılım dağıtımı ve cihaz yönetim hizmetlerinin sömürülmesi gibi çeşitli taktikleri içeriyor; bu da dünya genelindeki web kullanıcılarını ve organizasyonlarını hedef alan gelişen tehdit ortamını gösteriyor.