Kuzey Koreli APT grubu, Play fidye yazılım grubuyla işbirliği yaptı
Kuzey Kore devlet destekli olduğu düşünülen "Andariel" adlı APT grubun, yaptırımlardan kaçınmak ve gizlenmek için RaaS'ı kullanıp, Play fidye yazılım grubuyla operasyonel bir bağlantısı keşfedildi.
Palo Alto Networks'ün Unit42 adlı olay müdahele ekibi tarafından yayınlanan rapora göre "Jumpy Pisces" adlandırılan APT grubu ayrıca "Andariel" ve "Onyx Slee" olarakta tanınıyor. Grubun geçmiş ve yakın dönemlerde siber casusluk, mali suç ve fidye yazılımı saldırılarına karıştıkları belirtiliyor. Ayrıca bu grup, ABD Adalet Bakanlığı tarafından "Maui" adlı özel olarak geliştirilmiş fidye yazılımı dağıtmak suçuyla da suçlanmış.
Yakın bir zamanda elde edilen bulgulara göre Andariel, bir fidye yazılım saldırısı soruşturmasında kilit bir oyuncu olarak tanımlandı. Ancak Andariel ya da aynı gruptan bir kesimin Play fidye yazılım grubuyla işbirliği yaptığına orta düzeyde bir güvenle inanılıyormuş.
Eylül 2024'deki bir fidye yazılım soruşturmasıyla başladı
Unit42 için bu araştırmanın giriş noktası, Eylül 2024'te Play fidye yazılımından etkilenen bir şirketin olay müdahale hizmetlerini üstlenmesiyle başlamış. Soruşturma sırasında kritik bir bilgi keşfedilip, Mayıs 2024'te tehlikeye atılmış bir kullanıcı hesabı aracılığıyla Andariel APT grubunun ilk erişimi yaptığı tespit edilmiş.
İlk erişim elde edildikten sonra, kayıt defteri dökümlerini çıkarıp kimlik bilgilerini toplamak için Mimikatz aracını kullanmışlar. Bir sonraki adımda açık kaynak olan Silver ve bilgi çalma amaçlı olan DTrack adlı araçları kullanarak SMB üzerinden erişilebilen tüm ana bilgisayarlara bunları dağıtmışlar.
Eylül 2024'ün başına kadar komuta ve kontrol (C2) sunucusuyla iletişim kurmaya devam edilmiş ve son olarak Play fidye yazılımının dağıtımıyla sonuçlanmış.
Grubun fidye yazılım saldırısında rolleri kesinleşmedi!
Yazının başında belirttiğimiz üzere Unit42, APT grubunun Play fidye yazılım grubuyla işbirliği yaptığına orta düzeyde bir güvenle inanıyor. Çünkü Andariel'in Play fidye yazılımı için resmi olarak bir iştirak olup olmadığı henüz kesinleşmemiş. İkinci olarak APT grubunun, Play fidye yazılımı aktörlerine ağ erişimi satarak bir ilk erişim aracı olarakta hareket etmiş olabileceği düşünülüyor.
Her iki durumdada, Kuzey Kore devlet destekli bir grup ile bir fidye yazılım grubu arasındaki ilk kayıtlı işbirliği ortaya çıkarılmış oldu.
