Kuzey Koreli Tehdit Aktörleri Zararlı Yazılımları Dağıtmak için Internet Explorer Zafiyetlerini Kullanıyor

Kuzey Kore merkezli tehdit aktörlerinin zararlı yazılım bulaştırmak için Internet Explorer’daki iki güvenlik zafiyetinden yararlanarak Güney Kore merkezli bir çevrimiçi gazete sitesini hedef aldığı tespit edilmiştir. Güvenlik firması Volexity araştırmacıları saldırıları APT37 ve Scarcruft olarak da bilinen InkySquid APT grubu ile ilişkilendirmiştir. (Referans Linki)

Yapılan araştırmalar neticesinde Güney Kore merkezli çevrimiçi gazete sitesi olan Daily NK’nın, Mart 2021’in sonundan Haziran 2021’in başlarına kadar zararlı kod barındırdığı gözlemlenmiştir. Saldırının arkasındaki tehdit aktörleri tespit edilmekten kaçınmak için zararlı kodları meşru kodlar arasına karmaşıklaştırarak gizlemektedir. Saldırı, Microsoft tarafından Ağustos 2020 ve Mart 2021’de yamalanan iki Internet Explorer zafiyetinin istismar edilmesiyle gerçekleştirilmektedir. İstismar edilen zafiyetler Internet Explorer’daki CVE-2020-1380 ve CVE-2021-26411 kodları ile izlenen Memory Corruption (Bellek Bozulması) güvenlik zafiyetleridir. Zafiyetlerden başarı ile yararlanan tehdit aktörleri hedef sistemlerde Cobalt Strike ve BLUELIGHT adlı zararlı yazılımları konuşlandırmaktadır.

Söz konusu zafiyetler kullanılarak gerçekleştirilebilecek saldırıların hedefi olmamak adına kullanılan sistem ve uygulamaların güncel tutulması, bilinmeyen kaynaklardan dosya indirilmemesi ya da indirilen dosyaların taratılması ve son olarak şüpheli bağlantıların açılmaması tavsiye edilmektedir.

Size nasıl yardımcı olalım?

İhtiyacınız olan her an Prisma danışmanları yanı başınızda. Bizimle 7/24 iletişime geçebilirsiniz.


    Brandefense ile siber saldırılara karşı önlem alın!