Microsoft’un Kuzey Kore’ye bağlı olduğunu söylediği yeni bir siber suç grubu, sahte iş fırsatları kullanarak kötü amaçlı yazılım ve fidye yazılımı başlatarak hedeflerini kandırmaya çalışıyor ve buradan mali kazanç sağlıyor.
Microsoft, bu grubu “Moonstone Sleet” adı altında takip ediyor ve grubun en azından Ağustos 2023’ten bu yana aktif olduğunu ve LinkedIn, Telegram ve çeşitli serbest çalışma platformları aracılığıyla PuTTY ve SumatraPDF’in trojan haline getirilmiş sürümlerini dağıttığını söylüyor. Ayrıca, Moonstone Sleet’in Nisan 2024’te tespit edilen FakePenny adlı yeni bir fidye yazılımı türünün yayılmasıyla da bağlantısı olduğu belirtiliyor.
Kuzey Kore’deki Kim Jong-Un rejimi, genel olarak askeri çabalar için finansman sağlamaya odaklandığı düşünülen siber hedeflerine ulaşmak amacıyla fidye yazılımı geliştirmeye yabancı değil. Ancak Microsoft, bu grubun ilk kez özel fidye yazılımı geliştirdiğini belirtiyor.
Microsoft, Nisan ayındaki saldırının, Moonstone Sleet’in Aralık 2023’te kimlik bilgilerini ve fikri mülkiyet haklarını çalmak için kuruluşun güvenliğini ihlal etmesinin ardından ismi verilmeyen bir savunma teknolojisi şirketini hedef aldığını söylüyor. Buna göre saldırganlar, dosyaları şifrelemek ve fidye talep etmek için FakePenny’yi kullanmadan önce aylarca beklemişler.
Son zamanlarda, Kuzey Kore kaynaklı olduğu söylenen siber saldırıların parasal talepleri de artışa geçmiş gibi gözüküyor. Ayrıca, sahte IP’ler aracılığıyla özellikle ABD ve Çin gibi Asya ülkelerindeki şirketlere uzaktan çalışma başvurularında bulunulduğu ve bu sayede şirket sistemlerine erişim kazanıldığı söyleniyor.
Moonstone Sleet’in de benzer taktikler kullandığı, “birden fazla meşru şirkette” yazılım geliştirme pozisyonlarına başvurduğu tespit edildi ve Microsoft, bunun gelir elde etmek veya ilgilenilen kuruluşlara ilk erişim sağlamak olabileceğini düşünüyor. Ayrıca grup, özellikle yazılım geliştirme ve yüksek öğrenim alanlarında faaliyet gösteren kuruluşlarla ilişkiler kurmak için sahte şirketler de kurmuş gibi gözüküyor.
Bu şirketler genellikle yazılım geliştirme gibi hizmetler ve yapay zeka ve blockchain gibi diğer BT hizmetlerini sağladıklarını iddia ediyorlar. Ancak amacın, temel olarak mali kazanç elde etmek için hedeflerden yararlanmak veya sonraki saldırılar için temel oluşturacak şekilde ilk erişimi elde etmek olduğu düşünülüyor...