Facebook ve MS Console, kimlik hırsızlığı, kimlik avı ve diğer zararlı faaliyetler için kullanılabilecek çok sayıda kişisel ve hassas veri içerdikleri için genellikle bilgisayar korsanları tarafından hedef alınır.
Bu sistemler ihlal edildiğinde, tehdit aktörleri bunları kullanıcı hesaplarını kontrol etmek, kasıtlı olarak kötü amaçlı yazılım yaymak ve etkisi daha büyük olan daha geniş kapsamlı çevrimiçi saldırılar için güvenilir platformları kullanmak için kullanır.
Genians’taki siber güvenlik araştırmacıları yakın zamanda Kuzey Koreli Kimsuky APT’nin hedefli saldırılar için Facebook ve MS Console’dan aktif olarak yararlandığını tespit etti.
With ANYRUN You can Analyze any URL, Files & Email for Malicious Activity : Start your Analysis
Kimsuky APT Facebook’u İstismar Ediyor
Kimsuky APT grubu, Kuzey Koreli insan hakları aktivistlerini hedef almak için Güney Koreli yetkilileri taklit eden sahte Facebook hesapları oluşturarak yeni bir sosyal mühendislik taktiği geliştirdi.
Facebook Messenger, orijinallik oluşturmak ve truva atı haline getirilmiş .msc dosyaları dağıtacak kötü amaçlı OneDrive bağlantılarını dağıtmak için kullanıldı.
Bu kampanya, Kore-ABD-Japonya üçlü zirve tuzakları sağlayan önceki Japonya odaklı saldırılarla az bilinen saldırı vektörlerinden ve paylaşılan altyapıdan yararlandı.
Kimsuky’nin hedeflerine sızmak için nasıl alışılmadık yöntemler kullandığını gösteriyor. Araştırmacılar, bu bilginin Kore’deki KISA ve özel sektörün ortak çabaları sonucunda ortaya çıktığını söyledi.
VirusTotal’da kullanılan 60 kötü amaçlı yazılımdan koruma tarayıcısının tümü, kötü amaçlı dosyayı fark edemedi; bu da bilinmeyen kalıpların savunmaları yenmek için hâlâ kullanılabileceğini açıkça ortaya koyuyor.
Saldırganlar sahte belgeler ve Microsoft Office ve güvenlik uygulamalarıymış gibi davranan yeniden paketlenmiş parçalar kullandı. Yem olarak bir Google Drive belgesini işaret eden Hint C2 alanını kullanıyor.
Bu 41 dakikalık aralık boyunca kalıcılık, önceden oluşturulmuş Kimsuky kampanyaları aracılığıyla sürdürüldü.
Kötü amaçlı yazılım, dosyaları değiştirmek ve daha fazla kötü amaçlı öğeyi indirmek için uzaktan erişim sağlamak amacıyla VBScript’teki ortam değişkenlerini kullandı.
Bu, grubun değişen yeteneklerini göstermek için önceki Kimsuky saldırılarından öğrenilen püf noktalarını bazı yeni vektörlerle birleştiriyor.
Bilgisayarın pilini almak ve bilgileri WMI aracılığıyla işlemek için bir komut yürütülür ve temp.vbs’nin mevcut olup olmadığına bağlı olarak çıktısında “sch_vbs_ok_ENTER” veya “sch_vbs_no_ENTER” bulunur.
Bundan sonra toplanan veriler C2 sunucusundaki r.php’ye gönderilir ve alt çizgilerin yerine boşluklar kullanılır. VBS dosyası başka bir C2 sunucusuna bağlanırken Modi(a0) işlevini kullanır.
Ayrıca bu, Araştırma Teklifi-Haowen Song.doc’taki makro işlevi gibi önceki Kimsuky kampanyalarında görülen TTP’lerle de uyumludur.
Bu aynı zamanda, koşullara bağlı olarak yüklerin d.php tarafından vbtmp veya battmp’den iletildiği ve sonuçta appdata’ya yazan cmd.exe komutunun yürütülmesiyle sonuçlandığı anlamına gelir.
2024’ün ilk çeyreği, Kore’de hedef odaklı kimlik avı ve LNK kötü amaçlı yazılım saldırılarıyla damgasını vurdu; bunların sinsi ve seçici karakteri için gizli sosyal medya vektörleri kullanıldı.
MSC kötü amaçlı yazılımı, anti-virüse karşı savunma oluşturur ve sonuç olarak davranış tabanlı algılama gibi daha iyi önleme çözümlerine yol açar.
GSC, araştırmalarını KISA ile kamu-özel sektör işbirliği yoluyla gerçekleştirdi; burada göstergeler kullanıldı, sahte bir saldırı düzenlendi ve Genian EDR aracılığıyla yanıt yetenekleri doğrulandı.
Bu kampanyaya karşı çeşitli yeni taktikler kullanılarak hızlı analiz ve karşı önlemlerin uygulamaya koyulması, ABD’li güvenlik uzmanlarının yardımıyla mümkün oldu.
Looking for Full Data Breach Protection? Try Cynet's All-in-One Cybersecurity Platform for MSPs: Try Free Demo