APT43, Tallium ve Velvet Chollima olarak da bilinen Kuzey Kore devlet destekli grup Kimuky, saldırganların Güney Koreli hükümet ajansları, savunma sözleşmecileri ve araştırma kurumlarını ihlal etmek için ilk giriş noktası olarak kötü niyetli pencereler kısayolu (LNK) dosyalarını kullandıkları yeni bir siber ihale kampanyası başlatmakla suçlanıyor.
İşlem, meşru belgeler olarak gizlenmiş olan bu LNK dosyalarını yerleştiren zip arşivleri içeren kimlik avı e -postaları ile başlar.
Yürütme üzerine LNK dosyası, MSHTA.exe’yi, ağır bir şekilde gizlenmiş VBScript içeren bir İçerik Dağıtım Ağı’ndan (CDN) bir uzak HTML Uygulaması (HTA) dosyasını yüklemeye çağırır.
Bu komut dosyası, URL’ler ve komutlar için dizeler oluşturmak için CLNG ve CHR işlevleri aracılığıyla ondalık ve onaltılık dönüşümler kullanır, statik analiz ve uç nokta algılamasını etkili bir şekilde atlar.
Sofistike enfeksiyon zinciri
Rapora göre, kötü amaçlı yazılım daha sonra, yük dağıtımına devam ederken kurbanın dikkatini dağıtmak için seks suçluları veya vergi cezaları hakkında yeniden tasarlanan bir Decoy PDF lure indiriyor.
Eşzamanlı olarak, CMD /C SC sorgusu Windefend kullanarak Windows Defender’ın durumunu sorgular. Defender etkinse, komut dosyası bilgi çalma ve anahtarlama için baz64 kodlu PowerShell komut dosyalarını içeren bir zip arşivini indirir ve çözer.
Bu komut dosyaları, işlem kimliğini UUID tabanlı geçici bir dosyada saklayarak bir kerelik yürütme sağlar, VMware, Microsoft ve VirtualBox gibi üreticilere karşı anti-VM kontrolleri gerçekleştirir ve WindowsSecurityCheck adlı HKCU \ Software \ Microsoft \ Windows \ Windows \ Windows \ Windows \ Windows \ Windows \ Run altında bir kayıt defteri çalıştırma anahtarı aracılığıyla kalıcılık oluşturur.
Veri Sunum Taktikleri
Windows Defender devre dışı bırakıldığında, kötü amaçlı yazılım, baz64 kodlu yükleri gömen alternatif bir HTA dosyasını indirerek, disk yazmadan yansıtıcı bir DLL yükleyicisini çıkararak ve yürüterek yükselir.
Bu yükleyici, RC4 kullanarak şifrelenmiş dosyaları şifresini çözer, bunları VirtualLocex, WriteProcessMemory ve CreateMotethread aracılığıyla belleğe enjekte eder ve dosya tabanlı algılamadan kaçınmak için yansıtma işlemi dışa aktarma işlemini hedefler.
Enjekte edilen yük, chrome, kenar ve cesur gibi krom tabanlı tarayıcılardan app_bound_encrypted_key çalıyor, kimlik bilgilerinin ve çerezlerin çevrimdışı şifre çözmeyi kolaylaştırıyor.
Kampanya boyunca, kötü amaçlı yazılım, sertifika dizinlerini (NPKI, GPKI) sıkıştırarak, kısayol yollarından son dosyaları hasat ederek, oturum açma ve uzantılar dahil tarayıcı verilerinin çıkarılması ve .docx, .pdf ve cryptocurrens ile ilişkili terimler gibi hassas uzantılar için tarama sürücülerini tarayarak kurban profili oluşturur.
Veriler, %Temp %altında UUID adlı bir klasörde sahnelenir, init.zip’e (init.dat olarak yeniden adlandırılır) sıkıştırılır ve HTTP POST aracılığıyla 1MB parçalarda ygbsbl.hopto.org gibi komut ve kontrol (C2) sunucularına normal web trafiği olarak gizlenir.
Keylogging, periyodik yükleme için K.Log’a giriş yapan GetAsynCkeyState ve GetForeProundWindow API’lerini kullanarak tuş vuruşlarını, pano değişikliklerini ve pencere başlıklarını yakalar.
C2 döngüsü, her 10 dakikada bir yürütülen, dosya yüklemeleri için sorgular /rd, indirmeler için /WR ve /cm, invoke ekspresyonu yoluyla uzaktan powerShell komutları için dinamik yük dağıtımını ve gerçek zamanlı kontrolü sağlıyor.
Kimuky’ye atfetme, PowerShell istismarı ve Güney Koreli’ye özgü yemler de dahil olmak üzere tutarlı TTP’lerle güçlendirilir ve 2025’in başlarında Seqrite ve güvenlik araştırmacılarının önceki raporlarıyla uyumludur.
Bu kampanya, Kimuky’nin sosyal mühendisliği modüler kötü amaçlı yazılımlarla harmanlamadaki evriminin altını çizerek gizli ve kalıcılık için meşru araçlardan yararlanıyor.
T1204.002 (kötü amaçlı dosya yürütme), T1059.005 (VBScript), T1218.005 (MSHTA) ve T1620 (yansıtıcı kod yükleme) gibi MITER ATT & CK tekniklerine eşlenerek, politik olarak hassas sektörler için riskleri vurgular.
Kuruluşlar, bu tür tehditleri bozmak için anomali tespiti için davranışsal izleme, PowerShell denetimi ve birleşik SASE platformları uygulamalıdır.
Uzlaşma Göstergeleri (IOCS)
| SHA256 | Tanım |
|---|---|
| 87E8287509A7909170B5B6941209B5787140A8F6182D460618D4ED93418Aff9 | Kötü niyetli LNK |
| 232E618eda0ab1b85157ddbc67a4d0071c408c6f82045da2056550bfbca4140f | Kötü niyetli LNK |
| 0df3Afc6f4bbfff69e569607f52926b8da4ce1bc2a4747e7a17dbc0a13e050707 | Zip.log |
| 7B06E14A39F68F75AD80FD5F43A8A3328053923D101A34B7FB0D55235AB170B | sxzjl.hta |
| B98626EBD717ACE83CD7C312F081CE260E00F299B8D427BFB9EC465FA4BDF28B | V3.hta |
| 3db2e176f53bf2b8b1c0d26b8a880f059c0b4d1eda1cc4e9865bbe5a04ad37a | Sys.dll |
| CE4DBE59CA56039DDC731FEE9E883B3D3A1EF17809E7F4EEC7C3824AE2BF96 | App64.log |
| A499B66EA8B5F32D68598080EDDACAAF0ABC1F9EAC7E63429E972C2BF3B03D68 | Mani64.log |
| CE4DBE59CA56039DDC731FEE9E883B3D3A1EF17809E7F4EEC7C3824AE2BF96 | Net64.log |
| ygbsbl.hopto.org | C&C Sunucusu |
| hvmeyq.viewdns.net | C&C Sunucusu |
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!