Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Coğrafi Odak: Asya
Bilgisayar Korsanları Kötü Amaçlı Yazılım Dağıtmak İçin ‘Su Delikli’ Yerel Güvenlik Yazılımı İndirme Sitesi
Jayant Chakravarti (@JayJay_Tech) •
8 Şubat 2024
Kuzey Koreli siber suç grubu Kimsuky, gizli verilere erişim sağlamak için Güney Koreli kuruluşları hedef alan kötü amaçlı yazılım kampanyasının arkasında büyük olasılıkla yer alıyor.
Ayrıca bakınız: İsteğe Bağlı Panel | Operasyonel Mükemmelliği Güvenceye Alma: CISO’ları Engelleme 5 En Önemli Güvenlik Sorunu
Güney Koreli siber güvenlik şirketi S2W, Kuzey Koreli siber casusluk grubunun, bir güvenlik programını indirmek için bir siteye yönlendiren bir web sayfasına kötü amaçlı bir yükleme paketi yerleştirerek bilgisayarlara bilgi hırsızı kötü amaçlı yazılım bulaştırmaya çalıştığını söyledi.
Kötü amaçlı yazılım kampanyası, Güney Koreli kuruluşlara sistem, bulut ve uç nokta güvenlik hizmetleri sunan Seul merkezli güvenlik şirketi SGA Solutions’ın sunduğu ürün ve hizmetleri kullanan kişi ve kuruluşları hedef aldı.
Araştırmacılara göre bilgisayar korsanları, kötü amaçlı kurulumu SGA çözümü için TrustPKI yükleyicisi olarak gizlediler. Yükleyici indirilip çalıştırıldığında, S2W’nin Troll Stealer olarak takip ettiği bilgi hırsızı kötü amaçlı yazılımını ve bir komut ve kontrol sunucusundan alınan komutları yürüten başka bir arka kapıyı düşürdü.
Go programlama dilinde yazılan Troll Stealer kötü amaçlı yazılımı, tespit edilmekten kaçınmak için meşru bir “D2innovation Co.,LTD” sertifikasıyla imzalanmıştır. Kötü amaçlı yazılım, sistem bilgilerini çalar ve çalıştırıldığında C2 sunucusuna gönderir.
Troll Stealer tarafından erişilen bilgiler arasında C sürücüsü dosyaları ve dizinleri, ekran görüntüleri ve dosya aktarım yazılımı FileZilla ve Microsoft Yapışkan Not’ta saklanan bilgiler yer alır. Araştırmacılar, kötü amaçlı yazılımın Chromium tabanlı tarayıcılardan ve Firefox tarayıcılarından veri çalmak için Go dilinde yazılmış açık kaynaklı bir program olan HackBrowserData’yı kullandığını söyledi.
Troll Stealer ayrıca tarayıcılardan çerezleri, geçmişi, indirmeleri ve uzantıları çalabilir ve bilgileri C2 sunucusuna göndermeden önce bunları tarayıcı dizinine JSON dosyaları olarak kaydedebilir. Kötü amaçlı yazılım ayrıca çalınan verileri C2 sunucusuna göndermeden önce şifrelemek için RC4 ve RSA-4096 algoritmalarının bir kombinasyonunu kullanıyor.
Araştırmacılar, kötü amaçlı yazılımın virüslü sistemlerdeki GPKI klasörüne de erişip bu klasörden sızabildiğini, bunun da bilgisayar korsanlarının bunu öncelikle devlet kuruluşlarını hedeflemek için kullandığını gösterdiğini söyledi. Hükümet ve kamu kuruluşları, idari elektronik imzaların gerçekliğini doğrulamak için idari elektronik imza sertifikası olarak da bilinen GKPI’yi kullanır.
S2W, kötü amaçlı yazılım kampanyasını Kuzey Koreli Kimsuky grubuna bağladı çünkü Troll Stealer “AppleSeed kötü amaçlı yazılımında sistem bilgilerini toplamak için neredeyse aynı komutları ve AlphaSeed kötü amaçlı yazılımı tarafından kullanılan dosya şifreleme için aynı RC4 + RSA kombinasyonunu” paylaşıyor. Kimsuky grubu daha önce siber casusluk kampanyalarında iki kötü amaçlı yazılım çeşidini kullanmıştı.
Güney Kore’nin Gyeonggi Nambu İl Polis Teşkilatı geçen yıl ağustos ayında, Kimsuky grubunun askeri manevralarla ilgili bilgilere erişmek amacıyla ABD ve Güney Kore askeri güçleri arasındaki ortak tatbikatı hedef aldığını söyledi (bkz.: Kuzey Kore’nin Kimsuky Grubu ABD-Kore Tatbikatlarını Hedef Aldı).
Araştırmacılar, Ocak ayındaki kampanyada dağıtılan arka kapı kötü amaçlı yazılımının Kimsuky’nin BetaSeed kötü amaçlı yazılımına benzer olduğunu söyledi. Her iki kötü amaçlı yazılım türü de ele geçirilen sistemlerden bilgi çalıyor ve C2 sunucusundan aldıkları komutlara göre ek kötü amaçlı eylemler gerçekleştiriyor.
Bu kampanyadan önce, Kimsuky Group’un kötü amaçlı yazılım örneklerinin GPKI dosyalarını ele geçirdiği hiç gözlemlenmemişti; bu da grubun saldırılarını keskinleştirmek için taktik değiştirmiş olabileceğini gösteriyor. “Kimsuky grubunun geçmişte GPKI klasörlerini ele geçirme veya SOCKS5 protokolünü kullanma konusunda bilinen bir geçmişi yok, bu nedenle yeni hedefler belirlemiş olmaları veya AppleSeed/AlphaSeed kaynak koduna erişimi olan başka bir grubun Troll Stealer’ı oluşturmuş olması ve GoBear” dedi araştırmacılar.
Kuzey Koreli bilgisayar korsanları, iki ülke arasındaki bağların kötüleştiği bir dönemde, yakın zamanda Güney Koreli kuruluşlara sızmak veya casusluk yapmak için yenilikçi taktikler denedi. Güney Kore istihbarat teşkilatı Ocak ayında Kuzey Koreli bilgisayar korsanlarının karmaşık siber saldırılar gerçekleştirmek ve bilgisayar korsanlığı hedeflerini belirlemek için üretken yapay zeka teknolojisini kullandığını bildirdi (bkz: Kuzey Koreli Hackerlar Gelişmiş Siber Saldırılarda Yapay Zekayı Kullanıyor).