Alman ve Güney Kore hükümet kurumları, takip edilen bir tehdit aktörü tarafından düzenlenen siber saldırılar konusunda uyarıda bulundu. Kimsuki kullanıcıların Gmail gelen kutularını çalmak için hileli tarayıcı uzantıları kullanma.
Ortak danışmanlık, Almanya’nın iç istihbarat teşkilatı, Federal Anayasayı Koruma Dairesi (BfV) ve Güney Kore’nin Kore Cumhuriyeti Ulusal İstihbarat Teşkilatından (NIS) geliyor.
Ajanslar, izinsiz girişlerin “Kore Yarımadası ve Kuzey Kore konularındaki uzmanları” hedef odaklı kimlik avı kampanyalarıyla vurmak için tasarlandığını belirtti.
Black Banshee, Thallium ve Velvet Chollima olarak da bilinen Kimsuky, Kuzey Kore’nin Genel Keşif Bürosu içindeki bir alt unsura atıfta bulunuyor ve “Kuzey Kore’nin çıkarlarını etkileyen jeopolitik olaylar ve müzakereler hakkında stratejik istihbarat topladığı” biliniyor.
Birincil ilgi hedefleri arasında ABD ve Güney Kore’deki kuruluşlar, özellikle de hükümet, askeriye, imalat, akademi ve düşünce kuruluşu kuruluşlarında çalışan kişiler yer alır.
Google’ın sahibi olduğu tehdit istihbaratı şirketi Mandiant, geçen yıl “Bu tehdit aktörünün faaliyetleri, özellikle Güney Kore’deki akademik, üretim ve ulusal güvenlik endüstrilerinden finansal, kişisel ve müşteri verilerini toplamayı içeriyor.”
Grup tarafından düzenlenen son saldırılar, siber etkinliğinin FastFire, FastSpy, FastViewer ve RambleOn gibi Android kötü amaçlı yazılım türlerini kapsayacak şekilde genişletildiğini gösteriyor.
Chromium tabanlı tarayıcı uzantılarının siber casusluk amacıyla kullanılması, daha önce Stolen Pencil ve SharpTongue olarak izlenen kampanyaların bir parçası olarak benzer teknikleri kullanan Kimsuky için yeni değil.
SharpTongue işlemi ayrıca en son çabayla örtüşüyor, çünkü ikincisi aynı zamanda sahte eklentiyi kullanarak bir kurbanın e-posta içeriğini çalabiliyor ve bu da işlevi yerine getirmek için tarayıcının DevTools API’sinden yararlanıyor.
Ancak Kimsuky’nin mobil saldırılarının artmasında, tehdit aktörünün, kimlik avı taktikleriyle önceden elde edilmiş kimlik bilgilerini kullanarak kurbanların Google hesaplarına giriş yaptığı ve ardından hesaplara bağlı cihazlara kötü amaçlı bir uygulama yüklediği gözlemlendi.
Ajanslar, “Saldırgan, kurbanın PC’deki Google hesabıyla oturum açıyor, Google Play Store’a erişiyor ve kötü amaçlı bir uygulamanın yüklenmesini istiyor.” “Şu anda, hedefin Google hesabına bağlı akıllı telefonu, kötü amaçlı uygulamanın yükleneceği cihaz olarak seçiliyor.”
FastFire ve FastViewer’ı içine alan uygulamaların, üçüncü taraf geliştiricilerin uygulamalarını “küçük bir güvenilir test kullanıcıları grubuna” dağıtmasına izin veren “dahili test” olarak bilinen bir Google Play özelliği kullanılarak dağıtıldığından şüpheleniliyor.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
KOLTUĞUNUZU AYIRTIN
Burada belirtilmesi gereken bir nokta, uygulama üretime geçmeden önce gerçekleştirilen bu dahili uygulama testlerinin, uygulama başına 100 kullanıcıyı geçememesi, kampanyanın doğası gereği son derece hedefli olduğunu göstermektedir.
Kötü amaçlı yazılım yüklü uygulamaların her ikisi de, Android’in erişilebilirlik hizmetlerini kötüye kullanarak çok çeşitli hassas bilgileri toplama yetenekleriyle birlikte gelir. Uygulamalar aşağıda listelenmiştir –
- com.viewer.fastsecure (FastFire)
- com.tf.thinkdroid.secviewer (FastViewer)
Açıklama, ScarCruft adlı Kuzey Koreli gelişmiş kalıcı tehdit (APT) aktörünün, güvenliği ihlal edilmiş ana bilgisayarlara PowerShell tabanlı arka kapılar sağlamak için kullanılan farklı saldırı vektörleriyle bağlantılı olduğu sırada geldi.