Bilgisayar korsanları, Windows işletim sistemlerindeki güvenlik açıklarından yararlanmak için silah haline getirilmiş LNK dosyalarını kullanıyor. Bu dosyalar genellikle kullanıcı kısayolu tıklattığında yürütülebilecek kötü amaçlı kodlar içerir.
Bu silah haline getirilmiş dosyalar, tehdit aktörlerinin aşağıdakiler gibi çeşitli kötü amaçlı faaliyetler gerçekleştirmesine olanak tanır: –
- Yetkisiz erişim elde edin
- Kötü amaçlı yazılım dağıtın
- Kötü amaçlı yük dağıtın
Son zamanlarda ASEC’teki siber güvenlik araştırmacıları, Kimsuky grubunun AppleSeed kötü amaçlı yazılımını dağıtmak için silah haline getirilmiş LNK dosyasını aktif olarak kullandığını tespit etti.
AppleSeed Kötü Amaçlı Yazılımını Dağıtacak LNK Dosyası
Kuzey Kore tarafından desteklenen Kimsuky, 2013’ten beri faaliyet gösteriyor. Başlangıçta bu grup Güney Kore araştırma enstitülerini hedef aldı ve daha sonra 2014’te Güney Koreli bir enerji şirketini hedef aldı.
Bu gelişmiş grup, saldırı yüzeyini 2017’de dünya çapında genişletti ve aşağıdakilere karşı hedef odaklı kimlik avı konusunda uzmanlaştı: –
- Savunma
- Endüstriler
- Medya
- Diplomasi
- Organizasyonlar
- Akademi
Bu grubun temel amacı şirket içi bilgi ve teknolojileri çalmaktır. Bu grubun operatörleri LNK kötü amaçlı yazılımını tercih ediyor ancak aynı zamanda şunları da kullanıyor: –
- JavaScript makroları
- Excel makroları
AlphaSeed gibi son varyasyonlarla AppleSeed’in kullanımında ısrarcıdır ve yalnızca 2022’den bu yana Infostealer ve RDP Patch kötü amaçlı yazılımlarında da tutarlılığı korumakla kalmaz.
Bunun dışında, yöntemlerde minimum değişiklikle daha iyi kontrol sağlamak için özellikle RDP’den Chrome Uzaktan Masaüstü’ne geçiş yapıldı.
AppleSeed, tehdit aktörleri tarafından kontrol ediliyor ve genellikle bir JavaScript damlatıcısı aracılığıyla dağıtılıyor. Meşru programlar gibi görünen “%APPDATA%” veya “%PROGRAMDATA%” gibi gizli yollara kurulur.
AppleSeed’e benzeyen bir Golang kötü amaçlı yazılımı olan AlphaSeed, C&C iletişimi ve farklı oturum açma yöntemleri için ChromeDP’yi kullanıyor. Kimsuky grubu, AppleSeed ve AlphaSeed’i birleştiriyor, bazen bunları bir araya getiriyor.
Metasploit, Kimsuky tarafından da kullanılan bir arka kapı olan Meterpreter’ı içeren bir penetrasyon testi çerçevesidir. Ayrıca aşağıdaki VNC kötü amaçlı yazılımını da kullanırlar: –
Kimsuky tarafından kullanılan HVNC’yi içeren bir bankacılık kötü amaçlı yazılımı olan “TinyNuke”, doğrulama için “AVE_MARIA” gibi dizeler kullanıyor ve Kimsuky grubu bu taktikleri en az 2022’den beri kullanıyor.
Kimsuky tehdit grubu, sürekli hedef odaklı kimlik avı ile Güney Kore’yi hedefliyor, kötü amaçlı yazılımları e-posta eki olarak gönderiyor ve bu dosyaları çalıştırmak onlara hedeflenen sistem üzerinde kontrol sağlıyor.
Öneriler
Siber güvenlik araştırmacıları, kullanıcıları aşağıdaki önerilere uymaya çağırdı: –
- Bilinmeyen gönderenlere dikkat edin
- Rastgele dosyalardan kaçının
- İşletim sistemini güncel tutun
- Tarayıcıları güncellediğinizden emin olun
- Önleme için V3’ü güncel tutun
IOC’ler
MD5
- db5fc5cf50f8c1e19141eb238e57658c : AppleSeed (%APPDATA%\Abode\Service\AdobeService.dll)
- 6a968fd1608bca7255c329a0701dbf58 : AppleSeed (%APPDATA%\Abode\Service\AdobeService.dll)
- cafc26b215550521a12b38de38fa802b : AppleSeed (%APPDATA%\Abode\Service\AdobeService.dll)
- 76831271eb117b77a57869c80bfd6ba6 : AppleSeed (%APPDATA%\FoxitReader\Service\FoxitReaderUpdate.db)
- b5d3e0c3c470d2d41967229e17259c87 : AppleSeed (%APPDATA%\chrome\Service\updategoogle.dll)
- 4511e57ae1eacdf1c2922bf1a94bfb8d : AppleSeed (%APPDATA%\EastSoft\Control\Service\EastSoftUpdate.dll)
- 02843206001cd952472abf5ae2b981b2 : AppleSeed (%APPDATA%\FoxitReader\Service\FoxitReaderUpdate.db)
- 8aeacd58d371f57774e63d217b6b6f98 : AppleSeed (%APPDATA%\Acrobatreader\Service\AcrobatReaderUpdate.db)
- cacf04cd560b70eaaf0e75f3da9a5e8f : AppleSeed (%APPDATA%\ProtectSoft\Update\Service\ProtectSoftUpdate.db)
- 7a7937f8d4dcb335e96db05b2fb64a1b : AppleSeed (%APPDATA%\Abode\Service\AdobeService.dll)
- f3a55d49562e41c7d339fb52457513ba : AppleSeed (%APPDATA%\FoxitReader\Service\FoxitReaderUpdate.db)
- 5d3ab2baacf2ad986ed7542eeabf3dab : Elma Tohumu Damlalığı
- d4ad31f316dc4ca0e7170109174827cf : AppleSeed Damlalık
- 1f7d2cbfc75d6eb2c4f2b8b7a3eec1bf : AppleSeed Damlalık
- ae9593c0c80e55ff49c28e28bf8bc887 : AppleSeed Damlalık
- b6f17d59f38aba69d6da55ce36406729 : Elma Tohumu Damlalığı
- 153383634ee35b7db6ab59cde68bf526 : Elma Tohumu Damlalığı
- c560d3371a16ef17dd79412f6ea99d3a : AppleSeed Damlalık
- 0cce02d2d835a996ad5dfc0406b44b01 : AppleSeed Damlalık
- d94c6323c3f77965451c0b7ebeb32e13 : AlphaSeed (%USERPROFILE%\.edge\edgemgmt.dat)
- 52ff761212eeaadcd3a95a1f8cce4030 : AlphaSeed (%USERPROFILE%\.edge\edgemgmt.dat)
- 4cb843f2a5b6ed7e806c69e6c25a1025 : AlphaSeed (%USERPROFILE%\.edge\edgemgmt.dat)
- b6ab96dc4778c6704b6def5db448a020 : AlphaSeed (%USERPROFILE%\.edge\edgemgmt.dat)
- 232046aff635f1a5d81e415ef64649b7 : Meterpreter (%PROGRAMDATA%\setting.dat)
- 58fafabd6ae8360c9d604cd314a27159 : Meterpreter (%SystemRoot%\system32\setting.db)
- e582bd909800e87952eb1f206a279e47 : Meterpreter (%SystemRoot%\system32\service.db)
- ac99b5c1d66b5f0ddb4423c627ca8333: Meterpreter
- e34669d56a13d607da1f76618eb4b27e : TinyNuke (HVNC)
- ee76638004c68cfc34ff1fea2a7565a7: SıkıVNC
Komut ve Kontrol URL’si
- hxxp://bitburny.kro[.]kr/aha/ : Elma Tohumu
- hxxp://bitthum.kro[.]kr/hu/ : Elma Tohumu
- hxxp://doma2.or[.]kr// : Elma Tohumu
- hxxp://my.topton.re[.]kr/adres/ : AppleSeed
- hxxp://nobtwoseb1.ne[.]kr// : Elma Tohumu
- hxxp://octseven1.pe[.]kr// : Elma Tohumu
- hxxp://tehyeran1.re[.]kr// : Elma Tohumu
- hxxp://update.ahnlaib.kro[.]kr/aha/ : Elma Tohumu
- hxxp://update.doumi.kro[.]kr/aha/ : Elma Tohumu
- hxxp://update.onedrive.pe[.]kr/aha/ : Elma Tohumu
- hxxp://yes24.re[.]kr/aha/ : Elma Tohumu
- 104.168.145[.]83:993 : Metre yorumlayıcısı
- 159.100.6[.]137:993 : Meterpreter
- 38.110.1[.]69:993 : Metre yorumlayıcısı
- 107.148.71[.]88:993 : Metre yorumlayıcısı
- 45.114.129[.]138:33890 : Minik Nuke (HVNC)
- 45.114.129[.]138:5500 : SıkıVNC