Kuzey Kore rejiminin kontrolü altında faaliyet gösteren tehdit aktörleri, kalıcı arka kapı erişimi ve güvenliği ihlal edilmiş sistemler üzerinde uzaktan kontrol sağlamak üzere tasarlanmış gelişmiş kötü amaçlı yazılım araç setlerini tanıtarak teknik gelişmişliğin devam ettiğini gösterdi.
Son bulgular, casusluk kampanyaları düzenlemesiyle tanınan Kimsuky’nin HttpTroy’u kullandığını, Lazarus APT grubunun ise BLINDINGCAN’ın geliştirilmiş bir versiyonunu tanıttığını ortaya çıkardı.
Bu gelişmeler, birden fazla ülkedeki kuruluşları hedef alan devlet destekli siber operasyonların süregelen gelişiminin altını çiziyor.
Saldırı kampanyaları, aldatıcı dağıtım mekanizmalarıyla başlayan ve birden fazla enfeksiyon aşamasıyla ilerleyen, dikkatle düzenlenmiş bir yaklaşımı ortaya koyuyor.
Bu kötü amaçlı yazılım zincirlerindeki her bir bileşen, başlangıçtaki sistemin ele geçirilmesinden gizli komuta ve kontrol iletişimlerinin kurulmasına kadar farklı bir amaca hizmet eder.
Bu operasyonları destekleyen altyapı, gelişmiş gizleme tekniklerini ve katmanlı şifreleme protokollerini kullanarak, modern savunma önlemleri ve tespit sistemlerine ilişkin kapsamlı bir anlayış sergiliyor.
.webp)
Gendigital analistler, Kimsuky saldırısının Güney Kore’deki tek bir kurbanı hedef aldığını ve meşru bir Kore güvenlik şirketinden gelen VPN faturası gibi görünen bir ZIP arşivi aracılığıyla başlatıldığını tespit etti.
Zararsız görünen dosya adı, içinde bulunan kötü amaçlı bir ekran koruyucu dosyasının yürütülmesini teşvik ettiğinden, aldatmanın etkili olduğu kanıtlandı.
Lazarus operasyonu ise tam tersine, yük dağıtımını gizlemek için daha yeni teknikler kullanarak ve geleneksel uç nokta tespit yaklaşımlarından kaçan hizmet tabanlı kalıcılık mekanizmaları oluşturarak iki Kanadalı kuruluşu hedef aldı.
Bu kampanyalarda belirgin olan karmaşıklık, her gruba atfedilen farklı operasyonel kalıpları yansıtıyor.
Kimsuky’nin saldırısı, Kore diline dayalı sosyal mühendislikten ve yerel antivirüs yazılımıyla tutarlı planlanmış görev adlandırma kurallarından yararlanarak akla yatkın görünen sistem etkinlikleri yarattı.
Lazarus, daha karmaşık hizmet numaralandırma ve dinamik kayıt defteri manipülasyonu kullanarak meşru sistem hizmetlerinin kötü niyetli operasyonlar için etkili kamuflaj sağladığı kurumsal altyapının hedeflenmesini önerdi.
HttpTroy Enfeksiyon Mekanizması ve Kalıcılık Stratejisi
Kimsuky kampanyası, XOR işlemleri kullanılarak şifrelenmiş üç gömülü dosya içeren hafif GO tabanlı bir damlalıkla başlayan üç aşamalı bir enfeksiyon zinciri kullandı.
Uygulamanın ardından, damlalık yanıltıcı bir PDF faturası görüntülerken aynı zamanda regsvr32.exe aracılığıyla COM sunucusu kaydı yoluyla arka kapı altyapısını oluşturuyor.
Memload_V3 olarak tanımlanan ikinci aşama, AhnLab antivirüs güncellemelerini taklit eden ve kalıcılığı korumak için her dakika tekrarlanan zamanlanmış görevler oluşturur.
Gendigital araştırmacılar, HttpTroy’un son yükü temsil ettiğini ve saldırganlara dosya manipülasyonu, ekran görüntüsü yakalama, yükseltilmiş ayrıcalıklarla komut yürütme ve ters kabuk konuşlandırması gibi kapsamlı kontrol yetenekleri sağladığını belirtti.
Arka kapı, yalnızca HTTP POST istekleri aracılığıyla iletişim kurar ve 0x56 anahtarını ve ardından Base64 kodlamasını kullanan XOR şifrelemesinden oluşan iki katmanlı gizleme uygular.
Bu iletişim protokolü, saldırganların basit “komut parametresi” yapıları olarak biçimlendirilmiş komutları almasına ve belirli tanımlayıcılar aracılığıyla yürütme durumunu rapor etmesine olanak tanır; başarılı işlemler “tamam” yanıtlarıyla onaylanır ve başarısız girişimler “başarısız” mesajlarıyla gösterilir.
Kötü amaçlı yazılımın mimarisi, dinamik API karması ve çalışma zamanı dizesi yeniden oluşturma tekniklerini içerir; bu, statik analizi önlerken, bilinen kötü amaçlı yazılım imzalarını ve davranış göstergelerini izleyen güvenlik kuruluşları tarafından uygulanan algılama mekanizmalarını karmaşıklaştırır.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
