Microsoft, Kuzey Kore Hükümeti için çalıştığını söylediği “APT37” Bilgisayar Korsanı grubuna ait olduğunu belirlediği 50 alan adını ele geçirdiğini belirtti. Bu alan adları korsanların kimlik avı hırsızlığında kullanılıyordu.
APT37 aynı zamanda Thallium adı ile de anılıyor. Kuzey Kore merkezli siber saldırılar yapıyor. APT37 hakkında çıkan raporlar grubun Kuzey Kore hükümeti tarafından desteklendiği yönünde.
Söz konusu alan adlarına sahip olan internet sitelerini kullanarak saldıralar başlatılıyordu. İnternet siteleri kimlik avı hırsızlığı için kullanılıyordu. Çalınan bilgileri kullanıcılara karşı kullanıyordu.
Yapılan açıklamalara göre APT37 grubunun hedefleri genellikle hükümet yetkilileri, üniversite personelleri, düşünce kuruluşları ve nükleer silah projelerinde çalışan kişiler oluyor.
Microsoft mahkeme kararı ile alan adlarının kontrolünü sağladı.18 Aralık tarihinde mahkemeye bildirilen 50 adet alan adı kullanıcıları yanıltmak amacı ile kullanılıyordu. Birkaç harf değişikliği sayesinde kullanıcılar sahte e-postalar ile saldırıya uğruyor. Alan adlarıyla ilgili mahkemeye sunulan rapora buradan ulaşabilirsiniz.
Microsoft,grubun “BabyShark” ve “KimJongRAT” kötü amaçlılarını saldırdıkları kullanıcının verilerini çalmak veya sistemini ele geçirmek için kullandıklarını onayladı. İlgili mahkeme dosyasına buradan ulaşabilirsiniz.
Microsoft daha önce Rusya ve İran merkezli grupların sahip olduğu alan adlarını da mahkeme kararı ile ele geçirmeyi başarmıştı.
APT37 ile ilgili hazırlanmış olan FireEye raporuna buradan ulaşabilirsiniz.
Kaynak
