Maui fidye yazılımı operasyonu, gelir elde etmek ve Güney Kore’de anlaşmazlığa neden olmak için kötü niyetli siber faaliyetler kullandığı bilinen Kuzey Kore devlet destekli hack grubu ‘Andariel’ ile bağlantılı.
Devlet destekli Kuzey Koreli bilgisayar korsanları, finansal amaçlarla kampanyalar düzenlemekle ünlüdür, bu nedenle kendi fidye yazılımı operasyonlarını yürütmek, genel stratejik hedeflerine uygundur.
Maui ve Andariel arasındaki bağlantı, Kaspersky’deki araştırmacılar tarafından orta düzeyde güvenle atfedildi.
Andariel fidye yazılımı saldırılarına bağlandı Yakın geçmiştemedya, inşaat, üretim ve ağ hizmetlerinde Güney Koreli şirketleri hedefliyor.
Andariel ve Maui
Andariel (diğer adıyla Stonefly), casusluk, veri hırsızlığı, veri silme ve Kuzey Kore hükümeti için gelir artırma operasyonları gerçekleştirmek için siber saldırılarla ilişkilendirildi.
Grup, en az 2015’ten beri devlet, hükümet ve ordu kuruluşlarını ve finansal hizmet sağlayıcılarını hedef alıyor.
Geçen ay Andariel, ABD Dışişleri Bakanlığı’nın açıkladığı DPRK destekli hack grupları arasındaydı. 10 milyon dolar Operatörler hakkında bilgi için.
Maui fidye yazılımı, Nisan 2021’de (derleme zaman damgalarına dayalı olarak) saldırılar başlattı ve ABD’deki sağlık kuruluşlarına açık bir şekilde odaklandı.
FBI ve CISA daha önce Maui fidye yazılımı hakkında uyarılar yayınladıKuzey Koreli tehdit aktörlerine işaret eden uzlaşma göstergelerini paylaşıyor.
ABD’deki kolluk kuvvetleri Maui’yi takip etmeye devam etti ve yakın zamanda 500.000 $ kurtarmak hastaneler tarafından fidye yazılımı çetesine ödenen fidyeler.
Noktaları birleştirmek
Kaspersky’nin son rapor önceki ifşaatları temel alır ve bir Japon konut şirketine karşı daha önceki bir Maui saldırısının ve ardından Hindistan, Rusya ve Vietnam’da yapılan atıfsız saldırıların kanıtlarını sunar.
Kaspersky’ye göre, Japon kurban şifrelemeden sadece birkaç saat önce DTrack kötü amaçlı yazılımı tarafından vuruldu, sonraki günlük analizi ise aylar önce şirketin ağında “3Proxy” aracının varlığını ortaya çıkardı.
DTrack (Preft olarak da bilinir), Windows komutları aracılığıyla veri hırsızlığı ve HTTP hırsızlığı konusunda uzmanlaşmış modüler bir kötü amaçlı yazılımdır. 3Proxy, Andariel’in geçmişteki çeşitli kampanyalarında gözlemlenen ücretsiz bir açık kaynaklı proxy sunucusu yardımcı programıdır.
Japon, Rus, Hintli ve Vietnamlı firmalara yönelik saldırılarda kullanılan özel DTrack varyantı, önceki Andariel operasyonlarıyla doğrudan bağlantılı örneklerle %84’lük bir kod benzerliğine sahiptir.
Japon firmasına karşı kullanılan kötü amaçlı yazılım, şu raporda bildirilen aynı kabuk kodunu kullandı: 2021 Symantec yazısı Bu bir Andariel kampanyasını analiz etti.
Ek olarak, bu saldırılarda fark edilen ilk ağ güvenliği ihlal yöntemleri, savunmasız Weblogic sunucularından yararlanmak gibi tipik Andariel özelliklerine de sahiptir (CVE-2017-10271). Kaspersky, analistlerinin 2019’un ortalarında Andariel tarafından kullanılan aynı istismarları ve uzlaşma yöntemlerini gördüklerini belirtiyor.
Yukarıdakiler somut bir ilişkilendirme için yeterli olmasa da, APT ve fidye yazılımı işleminin erken tespit ve önlemeye yardımcı olabilecek bir bağlantısı var gibi görünüyor.