Kuzey Kore’ye bağlı ulus devlet aktörlerinin, güvenliği ihlal edilmiş makinelerin kontrolünü ele geçirmek için AppleSeed, Meterpreter ve TinyNuke gibi çeşitli arka kapılar ve araçlar sunmak amacıyla hedef odaklı kimlik avı saldırıları kullandıkları gözlemlendi.
Güney Kore merkezli siber güvenlik şirketi AhnLab, söz konusu etkinliği, şu şekilde bilinen gelişmiş bir kalıcı tehdit grubuna bağladı: Kimsuki.
AhnLab Güvenlik Acil Durum Müdahale Merkezi (ASEC) Perşembe günü yayınlanan bir analizde, “AppleSeed kullanan saldırılarla ilgili dikkate değer bir nokta, benzer saldırı yöntemlerinin uzun yıllardır birlikte kullanılan kötü amaçlı yazılımlarda önemli bir değişiklik yapılmadan kullanılmasıdır.” dedi.
On yılı aşkın bir süredir aktif olan Kimsuky, 2017 yılında odağını diğer coğrafyaları da kapsayacak şekilde genişletmeden önce, Güney Kore’deki çok çeşitli varlıkları hedeflemesiyle tanınıyor. Kuzey Kore’yi desteklemek için istihbarat topladığı için geçen ayın sonlarında ABD hükümeti tarafından onaylandı. Kore’nin stratejik hedefleri.
KULLANICIDAN YÖNETİCİYE: Bilgisayar Korsanlarının Tam Kontrolü Nasıl Kazandığını Öğrenin
Bilgisayar korsanlarının yönetici olmak için kullandıkları gizli taktikleri, çok geç olmadan bunu nasıl tespit edip engelleyeceğinizi keşfedin. Bugün web seminerimize kaydolun.
Şimdi Katıl
Tehdit aktörünün casusluk kampanyaları, açıldıktan sonra çeşitli kötü amaçlı yazılım ailelerinin yayılmasıyla sonuçlanan, kötü amaçlı yem belgeleri içeren hedef odaklı kimlik avı saldırıları aracılığıyla gerçekleştirilir.
Kimsuky tarafından kullanılan önde gelen Windows tabanlı arka kapılardan biri, Mayıs 2019 gibi erken bir tarihte kullanıma sunulan ve Golang’da yazılmış AlphaSeed adlı yeni bir varyantın yanı sıra bir Android sürümüyle güncellenen bir DLL kötü amaçlı yazılımı olan AppleSeed’dir (aka JamBog). .
AppleSeed, oyuncu tarafından kontrol edilen bir sunucudan talimatlar almak, ek yükleri bırakmak ve dosyalar, tuş vuruşları ve ekran görüntüleri gibi hassas verileri dışarı çıkarmak için tasarlanmıştır. AlphaSeed, AppleSeed gibi benzer özellikleri bünyesinde barındırıyor ancak bazı önemli farklılıklara da sahip.
“AlphaSeed Golang’da geliştirildi ve [command-and-control] ASEC, HTTP veya SMTP protokollerine dayanan AppleSeed’in aksine, dedi. Chromedp, DevTools Protokolü aracılığıyla Google Chrome tarayıcısıyla başsız modda etkileşim kurmak için kullanılan popüler bir Golang kitaplığıdır.
Kimsuky’nin Ekim 2022’den bu yana saldırılarda AlphaSeed kullandığını ve bazı izinsiz girişlerin bir JavaScript damlatıcısı aracılığıyla hem AppleSeed hem de AlphaSeed’i aynı hedef sisteme dağıttığını gösteren kanıtlar var.
Düşman tarafından ayrıca, etkilenen sistemin kontrolünü ele geçirmek için kullanılabilen TightVNC ve TinyNuke (namı diğer Nuclear Bot) gibi Meterpreter ve VNC kötü amaçlı yazılımları da kullanılıyor.
Gelişme, Nisos’un, Kuzey Kore’nin bilgi teknolojisi (BT) çalışanları tarafından ABD’deki şirketlerden sahtekarlıkla uzaktan istihdam elde etmek ve rejim için gelir getirici bir akış olarak hareket etmek için muhtemelen kullandığı LinkedIn ve GitHub’da bir dizi çevrimiçi kişiyi keşfettiğini söylemesinin ardından geldi. ekonomik ve güvenlik önceliklerinin finansmanına yardımcı olun.
Tehdit istihbarat firması bu ayın başlarında yayınlanan bir raporda, “Kişiler genellikle birkaç farklı türde uygulama geliştirme konusunda uzman olduklarını ve kripto ve blockchain işlemleriyle çalışma deneyimine sahip olduklarını iddia ediyordu.” dedi.
“Ayrıca, tüm kişiler teknoloji sektöründe yalnızca uzak pozisyonlar aradılar ve tekil olarak yeni istihdam elde etmeye odaklandılar. Hesapların çoğu, devre dışı bırakılmadan önce yalnızca kısa bir süre için aktif.”
Kuzey Koreli aktörler son yıllarda, fikri mülkiyet ve sanal varlıkların çalınmasını kolaylaştırmak amacıyla blockchain ve kripto para şirketlerini hedef almak için yeni taktikler ve tedarik zinciri zayıflıklarını harmanlayan bir dizi çok yönlü saldırı başlattı.
Saldırıların üretken ve agresif doğası, ülkenin uluslararası yaptırımlardan kaçmak ve planlardan yasa dışı kazanç elde etmek için başvurduğu farklı yollara işaret ediyor.
CrowdStrike’dan Adam Meyers’in Politico’ya söylediği aktarılan alıntıya göre, “İnsanlar şöyle düşünüyor: Alıntı-alıntısız ‘Hermit Kingdom’ siber açıdan nasıl ciddi bir oyuncu olabilir?” “Fakat gerçek, gerçeklerden bu kadar uzak olamaz.”