Kuzey Kore hükümetinin sponsorluğunu üstlendiği, Kimsuky olarak bilinen gelişmiş kalıcı tehdit (APT), 2013 yılından bu yana aktif olarak siber casusluk operasyonları yürütüyor.
Güney Kore’ye ve Kore Yarımadası’nda stratejik çıkarları olan diğer ülkelere odaklanarak, hedef ağlara sızmak ve hassas verileri sızdırmak için gelişmiş kötü amaçlı yazılım, hedef odaklı kimlik avı ve sosyal mühendislik taktiklerini kullanıyor.
Kuzey Koreli bir APT, 2012’den bu yana hükümet, eğitim ve ticari kurumları tehlikeye atmak için hedef odaklı kimlik avı, sulama deliği saldırıları ve sıfır gün istismarları kullanarak Güney Kore, ABD, Japonya, Rusya ve Avrupa’yı hedef alan siber casusluk yürütüyor ve hassas verileri üçüncü kişilere sızdırıyor. istihbarat toplama.
İlk sistem erişimi ve keylogging için Kimsuky, birden fazla aşamadan oluşan xRAT gibi açık kaynaklı araçlardan yararlanıyor.
Ayrıca kalıcı bir varlık oluşturmak ve hassas verilerin gizlice sızmasını kolaylaştırmak için Gold Dragon gibi özel arka kapı kötü amaçlı yazılımlarını da kullanıyorlar, bu da siber casusluk operasyonlarının gizliliğini ve etkinliğini artırıyor.
2024 yılının başında Kimsuky grubu, hedef odaklı kimlik avı kötü amaçlı yazılım içeren e-postalarla Windows sistemlerini hedef alan DEEP#GOSU kampanyasını başlattı.
Kötü amaçlı ekler PowerShell ve VBScript komut dosyalarını tetikledi, bulut hizmetlerinden TruRat gibi yükleri indirdi; bu da keylogging’i, veri sızmasını ve diğer kötü amaçlı etkinlikleri mümkün kılarken algılamayı engellemek için kaçırma teknikleri kullandı.
2020’de Kuzey Koreli grup Kimsuky, ABD’li savunma yüklenicilerine karşı hedef odaklı kimlik avı saldırıları gerçekleştirdi. Bu saldırılarda kötü amaçlı e-postalar, RandomQuery ve xRAT gibi veriler göndererek yanal hareket ve veri sızmasına olanak tanıyor, potansiyel olarak kritik askeri teknolojileri tehlikeye atıyor ve ulusal güvenliği tehlikeye atıyordu.
Picus Security’ye göre Kimsuky APT, ilk erişim elde etmek için kötü amaçlı ekler içeren hedef odaklı kimlik avı e-postaları kullanıyor ve ayrıca güvenliği ihlal edilmiş sistemlerde komutları yürütmek için PowerShell komut dosyalarından yararlanıyor.
Genellikle Base64 kodlaması ve yanıltıcı bir dosya adı ile karıştırılan ve kullanıcı oturum açtığında çalıştırılan, sistem bilgilerini toplayan ve bir C2 sunucusuna sızdıran reg.exe’yi kullanarak Windows Kayıt Defteri Çalıştırma anahtarına VBScript ekleyerek kalıcılık sağlar.
UAC’yi atlatmak için Win7Elevate’ten yararlanarak explorer.exe’ye kötü amaçlı kod enjekte eder, bu da ayrıcalık yükseltmeyi kolaylaştırır ve casusluk araçlarının konuşlandırılmasını sağlar.
Kötü amaçlı yazılım, yükünün şifresini çözer ve kullanıcının geçici klasöründe saklayarak kalıcılığı sağlar ve Kimsuky, Process Injection’dan yararlanarak kötü amaçlı DLL’yi explorer.exe içinde çalıştırarak gizlilik elde eder ve yükseltilmiş ayrıcalıkları korur.
Kimsuky APT, kimlik bilgisi dökümü, sistem bilgisi keşfi, keylogging ve ağ koklama gibi tekniklerden yararlanarak kalıcılık sağlamak, kimlik bilgilerini çalmak ve verilere sızmak için gizleme, arazi dışında yaşayan araçlar ve değiştirilmiş meşru araçlar kullanır.
Kimsuky tehditlerini azaltmak için kuruluşların gelişmiş e-posta filtrelemesi, ağ bölümlendirmesi ve sürekli izleme uygulamaları gerekir.
Gelişmiş saldırıları tespit etmek ve engellemek için güncel yazılımları sürdürmeli ve davranış analizi ve makine öğrenimi yeteneklerine sahip gelişmiş uç nokta koruma çözümlerini dağıtmalıdırlar.
ANY.RUN Threat Intelligence Lookup - Extract Millions of IOC's for Interactive Malware Analysis: Try for Free