Kuzey Kore devlet destekli siber-ihale grubu Kimuky, Güney Koreli varlıkları kötü niyetli pencereler kısayolu (LNK) dosyaları aracılığıyla hedefleyen ve grubun gizli ve hassasiyette devam eden evrimini gösteren sofistike yeni bir kampanyayı tanıttı.
Kampanya, özel sosyal mühendisliği, geleneksel güvenlik önlemlerinden kaçarken devlet kurumlarına, savunma müteahhitlerine ve araştırma organizasyonlarına sistematik olarak sızmak için tasarlanmış gelişmiş kötü amaçlı yazılım çerçeveleriyle birleştiriyor.
İşlem, e -posta filtreleme sistemlerini atlamak için zip arşivlerine gömülü kötü niyetli LNK dosyaları içeren özenle hazırlanmış kimlik avı e -postaları ile başlar.
Bu dosyalar, psikolojik yemler olarak halka açık Güney Kore hükümet materyallerine dayanan tuzak belgelerini kullanarak güvenilir Windows yardımcı programları aracılığıyla gizlenmiş komut dosyalarını yürütür.
Etkinleştirildikten sonra, kötü amaçlı yazılım, kalıcı komut ve kontrol iletişim kanallarını korurken kapsamlı sistem profili, kimlik bilgisi hırsızlığı ve kapsamlı veri püskürtme gerçekleştirir.
Aryaka Tehdit Araştırma Laboratuarları, özellikle Güney Koreli varlıkları hedefleyen bu siber-ihale kampanyasını belirledi ve sofistike operasyonu grubun karakteristik taktikleri, teknikleri ve prosedürlerinin analizi yoluyla Kimuky’ye atfetti.
Araştırmacılar, kampanyanın bölgeye özgü hedefleme ve operasyonel güvenliği korumak için meşru sistem süreçlerini kötüye kullanma konusundaki stratejik odaklandığını kaydetti.
Saldırı, yakınlardaki seks suçluları ve aciliyet yaratmak ve derhal kullanıcı katılımı yaratmak için tasarlanmış vergi cezası bildirimleri hakkında resmi görünümlü hükümet bildirimleri de dahil olmak üzere aldatıcı cazibeli belgelerden yararlanıyor.
Bu belgeler, ilk enfeksiyondan sonra otomatik olarak indirilir ve açılır ve kurbanın sisteminde aynı anda meydana gelen altta yatan kötü niyetli aktiviteyi maskeleyen etkili sosyal mühendislik bileşenleri olarak hizmet eder.
Gelişmiş enfeksiyon zinciri ve yansıtıcı yükleme mekanizmaları
Kötü amaçlı yazılımların teknik gelişimi, LNK dosya yürütme ile başlayan çok aşamalı enfeksiyon sürecinde belirginleşir.
.webp)
Etkinleştirildiğinde, kısayol, meşru Windows yardımcı programı MSHTA.EXE’yi kullanarak uzak içerik dağıtım ağında barındırılan bir HTA dosyasını başlatır.
Bu HTA dosyası, onaltılık-decimal dönüşümleri ve CHR fonksiyonlarını içeren karmaşık aritmetik işlemler yoluyla dizeler oluşturan yoğun bir şekilde gizlenmiş VBScript içerir.
.webp)
Kötü amaçlı yazılım, sistem üreticilerini VMware, Microsoft veya VirtualBox ortamları için inceleyen sanal makine algılama da dahil olmak üzere gelişmiş anti-analiz önlemleri uygular.
Sanallaştırılmış sistemlerin tespiti üzerine, kötü amaçlı yazılım, yürütmeyi sonlandırmadan önce yük dosyalarını sistematik olarak kaldıran ve sanal alan analizinden etkili bir şekilde kaçınan bir temizleme rutini tetikler.
Belki de en önemlisi, kampanya, kaçırma yeteneklerinde önemli bir ilerlemeyi temsil eden yansıtıcı DLL enjeksiyon teknikleri kullanır.
Kötü amaçlı yazılım, özel yükleyiciler olarak hizmet veren Base64 kodlu yürütülebilir dosyaları indirir ve kodlar, daha sonra CDN sunucularından RC4 şifreli yükleri alır.
Diske kötü niyetli DLL’ler yazmak yerine, sistem doğrudan bellekte içeriği şifreledi ve kodu çalıştırma işlemlerine enjekte etmek için CreateProcessMemory () ve CreateProcessMemory () ve CreateMotethRead () işlevlerini kullanıyor.
Bu yansıtıcı yükleme yaklaşımı, yükün tamamen bellekte çalışmasını sağlar ve disk tabanlı aktiviteleri izleyen geleneksel antivirüs çözümlerinin algılama olasılığını önemli ölçüde azaltır.
Kampanya, kayıt defteri modifikasyonları yoluyla kalıcı erişimi sürdürüyor ve standart web trafiği olarak gizlenmiş sağduyulu 1MB parçalarda gerçek zamanlı uzaktan komut yürütme, ek yük dağıtım ve sistematik veri açığa çıkmasını sağlayan sağlam komut ve kontrol kanalları oluşturuyor.
Entegre etmek Herhangi biri. Gelişmiş tehditleri analiz etmek için siem veya soar ile -> 50 Ücretsiz Deneme Search’i deneyin