Almanya Federal Anayasayı Koruma Dairesi (BfV) ve Kore Cumhuriyeti Ulusal İstihbarat Teşkilatı (NIS) işbirlikçi bir çabayla önemli bir siber güvenlik danışmanlığı yayınladı.
Bu danışma belgesi, yetkisiz erişim elde ederek hedeflerin Gmail hesaplarından hassas bilgileri çalmak için kötü amaçlı Chrome uzantıları kullandığı tespit edilen Kimsuki “Kim Su-ki” (aka Thallium, Velvet Chollima) olarak bilinen bir bilgisayar korsanlığı grubunun gizli eylemlerine karşı uyarıda bulunur.
Kuzey Koreli tehdit grubu Kimsuky, hedef odaklı kimlik avı yoluyla aşağıdaki varlıklara karşı siber casusluk yürütür:-
- diplomatlar
- Gazeteciler
- Devlet kurumları
- üniversite profesörleri
- Politikacılar
Tehdit aktörlerinin ilk odak noktası, Güney Kore’de bulunan hedeflerdi. Ancak, zamanla, faaliyetlerini aşağıdaki bölgelerdeki varlıkları içerecek şekilde önemli ölçüde genişlettiler:-
Ayrıca, saldırıyı hedeflere gerçekleştirmek ve yürütmek için tehdit aktörleri iki yöntem kullandı: –
- Kötü amaçlı bir Chrome uzantısı
- Android uygulamaları
Daha önce ima ettiğimiz gibi, mevcut Kimsuky kampanyası esas olarak yalnızca Güney Kore’de bulunan bireyleri hedefliyor.
Ancak aynı TTP’ler, tehdit aktörleri tarafından küresel olarak kurbanları hedeflemek için kullanılabilir. Bu nedenle, tehdit aktörleri tarafından kullanılan TTP’lere karşı tetikte olmak ve bu tür senaryoları tespit ederek hafifletmek çok önemlidir.
Saldırı Stratejisi
Kimsuky saldırı stratejisi, kurbanı kötü amaçlı bir Chrome uzantısı yüklemeye teşvik eden hedefli bir kimlik avı e-postası ile başlar.
Bu uzantının, Chrome tarayıcısının yanı sıra aşağıdakiler gibi diğer Chromium tabanlı tarayıcıları da etkileyebileceğini unutmamak önemlidir: –
Uzantı “AF” olarak tanımlanabilir ve normal şartlar altında uzantı listesinde görünmeyebilir. Kimsuky saldırısında kullanılan kötü amaçlı uzantıyı belirlemek için, kullanıcıların tarayıcının adres çubuğuna aşağıdaki adresi girmesi gerekir: –
- (krom|kenar|cesur)://uzantılar
Uzantı, kurban virüs bulaşmış tarayıcı aracılığıyla Gmail’i ziyaret ettiğinde tarayıcısını otomatik olarak etkinleştirir. Kurbanın e-posta hesabını tıkladıkları anda yakalar ve içeriğini çalar.
Uzantı, çalınan verileri saldırganın kontrolündeki sunucuya göndermek için tarayıcıda bulunan Devtools API’sinden yararlanan bir teknik kullanır.
Bu saldırı için Kimsuky, kötü amaçlı dosyaları için aşağıdaki karmaları kullandı: –
- 012d5ffe697e33d81b9e7447f4aa338b
- 51527624e7921a8157f820eb0ca78e29
- 582a033da897c967dış cephe386ac30f604
- 04bb7e1a0b4f830ed7d1377a394bc717
- 89f97e1d68e274b03bc40f6e06e2ba9a
- 3458daa0dffdc3fbb5c931f25d7a1ec0
Kimsuki, Android cihazlara bulaşmak için aşağıdaki Android kötü amaçlı yazılımını kullanır:-
- Hızlı Görüntüleyici
- hızlı ateş
- Hızlı Casus DEX
FastViewer’ın sağlamaları araştırmacılar tarafından zaten kamuya açıklandığından, Aralık 2022’de tehdit aktörleri FastViewer’ı kullanmaya devam etmek için güncelledi.
Bir kimlik avı e-postası veya başka bir saldırı, Kimsuki operatörlerinin kurbanın hesaba giriş yapmak için kullandığı Google hesabını çalmasına neden oldu. Bilgisayar korsanlarının, Google Play’in bilgileri web’den telefona senkronize eden özelliğini kötüye kullandığı da ortaya çıktı.
Bu özellik, kullanıcıların bağlantılı cihazlarına uygulamaları doğrudan bilgisayarlarından yüklemelerini sağlayarak bu cihazlara kötü amaçlı yazılım yüklemek için bir yol sağlar.
Saldırganlar, kötü amaçlı uygulamayı “yalnızca dahili test” kisvesi altında Google Play konsol geliştirici sitesine gönderir. Daha sonra, kurbanın cihazını test hedefi olarak eklerler ve Google Play’den kötü amaçlı uygulamayı kurbanın cihazına yüklemesini isterler.
Kimsuky tarafından kullanılan Android kötü amaçlı yazılımı, saldırganlara aşağıdakiler gibi kötü amaçlı faaliyetlerini gerçekleştirmeleri için çeşitli yetenekler sağlayan bir RAT’dir: –
- Kötü amaçlı yükü bırakın
- Dosya oluştur
- Dosyaları sil
- Dosya çalmak
- Kişi listelerini alın
- Aramaları gerçekleştir
- SMS izleme
- SMS gönder
- kamerayı etkinleştir
- Keylogging gerçekleştirin
- masaüstünü görüntüle
Kimsuky’nin Gmail hesaplarını tehlikeye atma konusunda sürekli gelişen taktikleriyle, hem bireylerin hem de kuruluşların kapsamlı güvenlik önlemlerini uygulamada proaktif kalması zorunludur.
Kötü Amaçlı Yazılımlara Karşı Savunma Stratejinizi Oluşturma – Ücretsiz E-Kitap İndirin
İlgili Okuma: