Kuzey Koreli bir hacker grubu olan Kimsuky’nin, e-postaları yakalayan ve çalan kötü niyetli bir tarayıcı uzantısı yardımıyla büyük web tarayıcılarını hacklediğine inanılıyor.
Bu kampanyayı Eylül ayında ilk fark eden Volexity araştırmacıları, SHARPEX uzantısını adlandırdı. Bu kötü amaçlı uzantının uyumlu olduğu üç farklı Chromium tabanlı web tarayıcısı vardır: –
- Google Chrome
- Microsoft Kenarı
- Balina
Gizli Kampanya
Ayrıca bu kötü amaçlı uzantı, Gmail ve AOL kullanıcılarının hesaplarından da e-posta çalabilir. Bir hedefin sisteminin güvenliğini aşmak için özel bir VBS komut dosyası kullanmanın bir sonucu olarak, saldırganlar bu kötü amaçlı uzantıyı sisteme yükler.
Bunu başarmak için, aşağıda bahsettiğimiz iki tür dosyayı kötü amaçlı yazılımın C2 sunucusundan indirilen dosyalarla değiştirirler:-
- Tercih dosyaları
- Güvenli Tercihler dosyaları
Bu son kampanyaya ek olarak, Kimsuky, SHARPEX’in konuşlandırıldığı aşağıdaki ülkelerde de benzer kampanyalar başlattı:-
- Birleşik Devletler
- Avrupa
- Güney Kore
Etkili Taktikler
Bu saldırı, kurbanın e-posta sağlayıcısı, saldırganın e-postaları çalmak için hedefin zaten oturum açmış olan oturumunu kullandığının farkında olmadığı sürece algılanmadan kalabilir.
Sonuç olarak, onu bu şekilde tespit etmek son derece zorlaşıyor. Uzantının iş akışının bir sonucu olarak kurbanların hesaplarında şüpheli bir etkinlik uyarısı tetiklenmez.
Uyarılar için webmail hesabı durum sayfasını kontrol ederseniz, uyarılar görünemeyeceğinden kötü amaçlı etkinliği bulamazsınız.
Yasadışı Yetenekler ve Toplanan Veriler
SHARPEX kullanarak Kuzey Koreli tehdit aktörleri tarafından toplanabilecek çok çeşitli bilgiler vardır. İşte aşağıda onlardan bahsettik: –
- Kurbandan daha önce toplanan tüm e-postaların bir listesini yapın.
- Kurbanın daha önce iletişim kurduğu e-posta alanlarını listeleyin.
- E-posta gönderenlerin kara listesini toplayın.
- Kurban tarafından görüntülenen tüm alan adlarının listesine bir alan ekleyin.
- Uzak sunucuya yeni bir ek yükleyin.
- Gmail verilerini uzak sunucuya yükleyin.
- Saldırganın yorumu; sızdırılacak bir ek listesi alın.
- AOL verilerini uzak sunucuya yükleyin.
Hafifletmeler
Aşağıda, önerilen tüm azaltıcı önlemlerden bahsettik: –
- PowerShell ScriptBlock günlüğünü etkinleştirin.
- PowerShell ScriptBlock günlüğünün sonuçlarını analiz edin.
- Yüksek riskli kullanıcıların makinelerinde yüklü olan tüm uzantıların gözden geçirildiğinden emin olun.
- İlgili aktivitenin tespiti için YARA kurallarını kullanabilirsiniz.
- Verilen IOC’ler engellenmelidir.
Bizi Linkedin’den takip edebilirsiniz, heyecanGünlük Siber Güvenlik güncellemeleri için Facebook.