Kimsuky bilgisayar korsanları, güvenlik açıklarını bulmak için yeni keşif aracını kullanıyor


Kuzey Kore

Kuzey Koreli Kimsuky bilgisayar korsanlığı grubunun, küresel erişime sahip bir siber casusluk kampanyasında artık ‘ReconShark’ olarak adlandırılan kötü amaçlı keşif yazılımının yeni bir sürümünü kullandığı gözlemlendi.

Sentinel Labs, tehdit aktörünün hedefleme kapsamını genişleterek artık ABD, Avrupa ve Asya’daki devlet kurumlarını, araştırma merkezlerini, üniversiteleri ve düşünce kuruluşlarını hedef aldığını bildirdi.

Mart 2023’te Güney Koreli ve Alman yetkililer, Thallium ve Velvet Chollima olarak da bilinen Kimsuky’nin, Gmail hesaplarını hedef alan kötü amaçlı Chrome uzantıları ve uzaktan erişim truva atı işlevi gören bir Android casus yazılımı yaymaya başladığı konusunda uyardı.

Daha önce, Ağustos 2022’de Kaspersky, Güney Kore’deki politikacıları, diplomatları, üniversite profesörlerini ve gazetecileri hedef alan, yalnızca geçerli hedeflere kötü amaçlı yüklerin bulaşmasını sağlayan çok aşamalı bir hedef doğrulama şeması kullanan başka bir Kimsuky kampanyasını ortaya çıkarmıştı.

Kimlik avı saldırısı

Microsoft, indirilen Office belgelerinde makroları varsayılan olarak devre dışı bıraktıktan sonra, çoğu tehdit aktörü kimlik avı saldırılarında ISO dosyaları ve son zamanlarda OneNote belgeleri gibi yeni dosya türlerine geçiş yaptı.

SentinelLabs Kıdemli Tehdit Araştırmacısı Tom Hegel, BleepingComputer’a “Saldırganlar muhtemelen Office’in eski sürümlerine veya yalnızca makroları etkinleştiren kullanıcılara karşı kolay zaferler arıyor” dedi.

“Kimsuky burada çok yenilikçi değil — özellikle de BabyShark kötü amaçlı yazılım ailesini geliştirmeye devam ettikleri için.”

Kimsuky saldırısında kullanılan kötü amaçlı belge
Kimsuky saldırısında kullanılan kötü amaçlı belge (Gözcü Laboratuvarları)

Microsoft, indirilen Office belgelerinde makroları varsayılan olarak devre dışı bıraktıktan sonra, çoğu tehdit aktörü kimlik avı saldırıları için ISO dosyaları ve son zamanlarda OneNote belgeleri gibi yeni dosya türlerine geçiş yaptı.

SentinelLabs Kıdemli Tehdit Araştırmacısı Tom Hegel, BleepingComputer’a “Saldırganlar muhtemelen Office’in eski sürümlerine veya yalnızca makroları etkinleştiren kullanıcılara karşı kolay zaferler arıyor” dedi.

“Kimsuky burada çok yenilikçi değil — özellikle de BabyShark kötü amaçlı yazılım ailesini geliştirmeye devam ettikleri için.”

ReconShark

ReconShark, Sentinel Labs analistleri tarafından Kimsuky’nin “BabyShark” kötü amaçlı yazılımının bir evrimi olarak kabul ediliyor ve bu kötü amaçlı yazılım, aynı zamanda ABD kuruluşlarını hedef alan Kuzey Koreli bir siber casusluk grubu olan APT43 tarafından dağıtıldığı görüldü.

ReconShark, çalışan işlemler, pil verileri vb. gibi virüslü sistem hakkında bilgi toplamak için WMI’yı kötüye kullanır.

Ayrıca, Kaspersky, Malwarebytes, Trend Micro ve Norton Security ürünleri için özel kontrollerden bahseden Sentinel Labs ile güvenlik yazılımının makinede çalışıp çalışmadığını da kontrol eder.

Güvenlik aracı işlemlerini kontrol etme
Güvenlik aracı işlemlerini kontrol etme (Gözcü Laboratuvarları)

Keşif verilerinin sızdırılması doğrudandır; kötü amaçlı yazılım yerel olarak hiçbir şey depolamadan HTTP POST istekleri yoluyla her şeyi C2 sunucusuna gönderir.

“ReconShark’ın dağıtılan algılama mekanizmaları ve donanım bilgileri gibi değerli bilgileri sızdırma yeteneği, ReconShark’ın, muhtemelen savunmalardan kaçınmak ve platform zayıflıklarından yararlanmak için özel olarak tasarlanmış kötü amaçlı yazılımları içeren, sonraki hassas saldırılara olanak tanıyan, Kimsuky tarafından yönetilen bir keşif operasyonunun parçası olduğunu gösteriyor. ” diye uyardı SentinelOne.

ReconShark’ın bir başka yeteneği de C2’den ek yükler getirmektir, bu da Kimsuky’ye virüs bulaşmış sistemde daha iyi bir dayanak sağlayabilir.

Sentinel Labs raporunda, “Sızdıran bilgilere ek olarak, ReconShark, komut dosyaları (VBS, HTA ve Windows Batch), makro etkin Microsoft Office şablonları veya Windows DLL dosyaları olarak uygulanan çok aşamalı bir şekilde daha fazla yük dağıtır” diyor. .

“ReconShark, virüslü makinelerde hangi algılama mekanizması işlemlerinin çalıştığına bağlı olarak hangi yüklerin konuşlandırılacağına karar verir.”

Yük dağıtım aşaması, kullanıcı bu uygulamalardan birini başlattığında kötü amaçlı yazılımı çalıştırmak için Chrome, Outlook, Firefox veya Edge gibi popüler uygulamalarla ilişkili Windows kısayol dosyalarının (LNK) düzenlenmesini içerir.

ReconShark kısayol dosyalarını düzenler
ReconShark kısayol dosyalarını düzenler (Gözcü Laboratuvarları)

Alternatif bir yöntem, kullanıcı Microsoft Word’ü her başlattığında kötü amaçlı kod yüklemek için varsayılan Microsoft Office şablonu Normal.dotm’u C2 sunucusunda barındırılan kötü amaçlı bir sürümle değiştirmektir.

Kötü amaçlı bir Office şablonu yükleniyor
Kötü amaçlı bir Office şablonu yükleniyor (Gözcü Laboratuvarları)

Her iki teknik de, tehdit aktörünün çok aşamalı saldırısının bir parçası olarak hedeflenen sistemin derinliklerine sızmak, kalıcılığı sürdürmek ve ek yükleri veya komutları yürütmek için gizli bir yol sunar.

Kimsuky’nin sofistike düzeyi ve şekil değiştirme taktikleri, daha fazla ihtiyatlı olmayı ve operasyonunu daha geniş kampanyalar yürüten diğer Kuzey Koreli gruplardan ayıran çizgiyi bulanıklaştırmayı gerektiriyor.



Source link