APT38 notları

Özellikle finans kurumlarını maddi çıkar amaçlı hedef alan Kuzey Kore kökenli APT38 grubuna dair Fireeye raporunun satır başları şöyle;

  • Özellikle Swift ödeme sistemi altyapılarını hedef alıyor. Hedefleri arasında Türkiye de var

  • Kuzey Kore'nin nükleer testleri sebebiyle, ülkeye yönelik Mart 2013'de gerçekleşen finansal yaptırımlar neticesinde, faaliyetlerine Şubat 2014'de başlamıştır

  • Sistemlere sızdıktan sonra, zararlı, uzunca bir süre kurumun Swift yapısını/akışlarını öğrenmeye çalışmakta (bu anlamda Swift'in resmi dökümanlarını bile okudukları iddia ediliyor) DYEPACK zararlısı özellikle bu amaca yönelik geliştirilmiş bir zararlı. In-memory çalışan bir türevi de mevcut

  • Pek çok bankaya, güvenliği bankalara göre görece düşük, üçüncü parti firmalar aracılığıyla sızıldığı ifade edilmekte

  • Sistemlerde, ilgili zararlının ortalama 155 gün kaldığı ifade ediliyor (rekor 678 gün)

  • Hedeflere öncesinden Linkedin davetleri de göndererek spear phishing ihtimalini dahi güçlendirmişler

  • APT38 grubu, sistemlerde adli inceleme amaçlı iz bırakmamak için ekstra bir özen göstermiş

  • Hedefleri arasında Linux sunucular da var (özellikle Struts2 zafiyetli)

  • Askeri casusluk amaçlı saldırgan grubu TEMP.Hermit ile kod benzerlikleri oldukça fazla sayıda. Bununla beraber yürüttükleri operasyonların nitelikleri bağlamında farklar var. Yine Wannacry ve Sony hack aktiviteleri gibi faaliyetlerin arkasında da benzer grubun elemanlarının yer aldığı ifade ediliyor

Furkan ÇALIŞKAN

Read more posts by this author.