Kimsuky (aka Thallium, Black Banshee, Velvet Chollima), S2W’deki siber güvenlik uzmanları tarafından yakın zamanda keşfedilen 3 yeni mobil kötü amaçlı yazılımla Android cihaz kullanıcılarını aktif olarak hedefleyen Kuzey Koreli bir bilgisayar korsanlığı grubudur.
Bu grup 2012’den beri aktiftir ve dünya çapında aşağıdaki sektörlerde faaliyet gösteren hedeflere çeşitli siber saldırılar gerçekleştirmiştir:-
- medya
- Araştırma
- Siyaset
- diplomasi
- finans
Veriler öncelikle bu bilgisayar korsanlığı grubu tarafından kötü amaçlı yazılımların dağıtılması ve kurbanların hesaplarına erişmelerini sağlayan hedef odaklı kimlik avı saldırıları yoluyla toplanır.
Kötü Amaçlı Yazılım Türleri
Kötü amaçlı yazılım türlerinin Güney Koreli siber güvenlik şirketi S2W tarafından aşağıdaki şekilde adlandırıldığına dikkat edilmelidir:
- FastFire: Bir Google güvenlik eklentisi olarak gizlenmiş FastFire.
- Hızlı Görüntüleyici: FastViewer kötü amaçlı yazılımı kendisini “Hancom Viewer” olarak gizler.
- HızlıCasus: FastSpy, açık kaynaklı AndroSpy aracına dayalı bir uzaktan erişim aracıdır.
Kimsuky söz konusu olduğunda, Kuzey Kore’nin dünya çapında Kimsuky perdesi altında bir istihbarat toplama görevi yürütmesi bekleniyor.
Bu grubun birincil odak noktası aşağıdaki ülkelerdeki kuruluşlar ve kuruluşlardır:-
Teknik Analiz
Geçmişte, saldırganlar, AppleSeed implantının Android sürümü aracılığıyla virüslü cihazlarda keyfi eylemler gerçekleştirebiliyordu.
Son zamanlarda keşfedilen üç kötü amaçlı yazılım ailesi, Kimsuky’nin cephaneliğine yapılan en son eklemelerdir. Bu kötü amaçlı yazılım grubu, temel olarak iki temel görevi gerçekleştirmek için tasarlanmıştır: –
- Firebase’den komutları alın
- Ek yükleri indirin
MainActivity ile başlayan FastFire’ın yürütüldüğü önceden belirlenmiş bir sıra vardır. “com.viewer.fastsecure”, kendisini bir Google Güvenlik Eklentisi olarak gizleyen kötü amaçlı APK’nın paket adıdır.
Başlatıcı simgesini gizlediği için yüklendikten sonra kurulduğunu keşfetmenin bir yolu yoktur. Erişilebilirlik API izinlerini kullanan FastViewer ve FastSpy, Android cihazlarda casusluk faaliyetleri gerçekleştirir.
FastSpy’ı başlattıktan sonra, saldırgana aşağıdaki verileri ve bileşenleri çalmayı ve ele geçirmeyi hedeflenen cihazlar üzerinde tam kontrol sağlayacaktır:-
- aramalar
- SMS
- Konumlar
- Belgeler
- tuş vuruşları
- Kamera
- Kayıtlar
- Mikrofon
- Hoparlörler
Bu üç kötü amaçlı yazılım ailesi, bu grubun “mc.pzs alanını kullandığı tespit edildiğinden, Kimsuky hack grubuna atfedildi.[.]kr.” Grup tarafından daha önce Mayıs 2022’de yürütülen bir kampanyada kullanılmış olan alan adı olsa da.
Kimsuky Group’un mobil hedefleme stratejisinin daha karmaşık ve gelişmiş hale gelmesi nedeniyle, kullanıcıların Android cihazları hedefleyen karmaşık saldırılara karşı dikkatli olmaları zorunludur.
Uygulamalar için Yönetilen DDoS Saldırı Koruması – Ücretsiz Kılavuzu İndirin