Haziran 2025’in sonlarında, Kuzey Kore’nin Kimuky APT grubundan önemli bir operasyonel çöplük, karanlık bir web forumunda ortaya çıktı, sanal makine görüntülerini, VPS altyapısını, özelleştirilmiş kötü amaçlı yazılımları ve binlerce çalıntı kimlik bilgilerini ortaya çıkardı.
Bu sızıntı, grubun casusluk araç setine benzeri görülmemiş bir pencere sunuyor ve Kimuky’nin kimlik avı kampanyalarını nasıl yürüttüğünü, kalıcılığı koruduğunu ve Güney Kore, ABD, Japonya ve Avrupa’daki kritik ağlarda tespitten kaçınma.
Foresiet analistleri, yayınlanmasından sonraki birkaç saat içinde, DPRK siber operasyonlarına yıllarca süren bir fikir vaat eden tarayıcı geçmişleri, rootkit modülleri ve bayat GPKI sertifikaları da dahil olmak üzere zengin bir eser belirledi.
Foresiet araştırmacıları, ilk veri kümesinin operatörün kişisel Deepin Linux sanal makinesinden kaynaklandığını ve ana bilgisayarın C: \ Drive içeriğini koruyan HGFS entegrasyonu ile tamamlandığını belirtti.
Bir masaüstü ekran görüntüsü, krom ve cesur tarayıcılara yüklenen özel proxy ve kullanıcı ajanı uzantılarını gösteren saldırganın ortamını yakalar.
.webp)
Aynı VM dökümü, mızrak aktı için kullanılan e-posta adreslerini ve özel bir implant için Çince bir kullanıcı kılavuzu gibi dahili arka kapı belgelerine bağlantıları ortaya çıkararak yaklaşık 20.000 tarayıcı geçmiş kaydı ortaya çıktı.
Ayrıntılı auth.log dosyaları ve SSL sertifikalarının kurtarıldığı VPS.bz’de barındırılan kamuya açık bir VPS’den türetilen ikinci veri kümesi.
Bu kütükler, Güney Kore’nin Savunma Karşı Zorlama Komutanlığı’na (DCC.MIL.KR), Yüksek Savcı (Spo.go.kr) ve diğer yüksek değerli hedeflere karşı canlı mızrak aktı operasyonlarını izledi.
En çok bulgular arasında binlerce çalıntı Güney Kore Hükümeti halk anahtar altyapısı (GPKI) sertifikaları ve Java’da yazılmış çatlama aracı vardı ve Kimuky’nin yetkilileri taklit etmesini ve algılamadan hileli belgeleri imzalamasını sağladı.
Kissuky’nin implant süiti, gizli ters kabuklar için ağ işlevlerini kanca yapan yüklenebilir bir Linux modülü olan Tomcat çekirdek rootkit ve kişiselleştirilmiş bir kobalt grev işaretini içerir.
En son Haziran 2024’te güncellenen Beacon, özel C2 profilleri ile gömülüdür ve kısmen çekirdek rootkit ile entegre edilmiştir.
HTTP’yi 8172 numaralı bağlantı noktası üzerinde kullanır, /submit.php Sahtekâr bir IE9 kullanıcı ajanı dizesi ile.
Bu ısmarlama yapı, Kimuky’nin geleneksel tespitten kaçınmak için açık kaynaklı çerçeveleri tescilli kodla birleştirdiğini göstermektedir.
Kalıcılık taktikleri
Ortaya çıkan en sofistike kalıcılık mekanizmalarından biri Tomcat çekirdeği rootkit.
Hazırlanmış bir yükleyici komut dosyası aracılığıyla ilk kurulumdan sonra, rootkit kendisini çekirdeğin modül listesine kaydeder ve anahtar işlevleri yamalar inet_sock_create Ve tcp_v4_connect Port çalmayı ve SSL ters kabuklarını etkinleştirmek için.
.webp)
İnit rutinden basitleştirilmiş bir alıntı, sistem çağrı tablosuna nasıl bağlandığını göstermektedir:-
static int __init rootkit_init(void) {
write_cr0(read_cr0() & (~0x10000));
original_syscall = syscall_table[__NR_kill];
syscall_table[__NR_kill] = (unsigned long)hooked_kill;
write_cr0(read_cr0() | 0x10000);
return 0;
}Bu çekirdek düzeyinde implant, operatörün kullanıcı uzay izleme araçları tarafından tespit edilmemesini sağlar ve savunucuları özel ana bilgisayar tabanlı algılama kuralları dağıtmaya zorlar.
Şifreli C2 trafiğini bağlantı noktası kefesi yetkilendirme ile birleştirerek, modül, yalnızca önceden onaylanmış bağlantıların arka kapıyı tetikleyebilmesini ve normal ağ akışlarındaki varlığını etkili bir şekilde maskeleyebilmesini sağlar.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.