“Kara Banshee” olarak da bilinen Kuzey Kore devlet destekli gelişmiş Kalıcı Tehdit (APT) grubu Kimuky, en azından 2012’den beri aktif, Güney Kore, Japonya ve Amerika Birleşik Devletleri gibi ulusları sofistike siber casusluk kampanyalarına sahip.
Son zamanlarda, bir tweet aracılığıyla paylaşılan yeni uzlaşma göstergeleri (IOCS), grubun son saldırı vektörünü ortaya çıkararak kötü amaçlı yükler içeren bir zip dosyası ortaya çıktı.
Enfeksiyon zincirinin ayrıntılı analizi, tespit etmek ve hassas sistemlere nüfuz etmek için tasarlanmış kimlik avı, kötü amaçlı yazılım dağıtım ve gizleme tekniklerinin karmaşık bir karışımını sergilemektedir.
.png
)
Bu keşif, Kimuky’nin veri açığa çıkması ve keşif üzerine acımasız odaklanmasını vurgular ve kötü niyetli hedeflerini yürütmek için meşru sistem süreçlerini kullanan çok aşamalı bir saldırı çerçevesi kullanır.
Siber casuslukta gelişmiş taktikler ortaya çıkarıldı
Bu kampanyanın kalbindeki zip dosyası dört kritik bileşen içeriyordu: bir VBScript (1.VBS), bir PowerShell komut dosyası (1.ps1) ve iki kodlanmış metin dosyası (1.log ve 2.log).
VBScript, komutları dinamik olarak oluşturmak ve yürütmek için CHR () ve CLNG () gibi işlevleri kullanarak ağır şaşkınlık kullanır ve imza tabanlı antivirüs algılamasını etkili bir şekilde atlar.
Deobfuscation üzerine, kodlanmış 1.Log dosyasını bir bağımsız değişken olarak geçirerek PowerShell betiğini tetikler.
PowerShell komut dosyası, 1.Log’dan baz64 kodlu verileri kod çözer, BIOS seri numarası gibi benzersiz sistem tanımlayıcıları toplar ve Saldırı Dosyalarını depolamak için TEMP klasöründe makineye özgü bir dizin oluşturur.
Özellikle, komut dosyası VMware ortamları için bir kendi kendini imha mekanizması içerir ve sanallaştırılmış kum havuzlarında analizden kaçınmak için ilgili tüm dosyaları siler.
Çok katmanlı saldırı zincirinin diseksiyonu
Daha fazla inceleme, kötü amaçlı yazılım içinde veri eksfiltrasyonu (yükleme dosyası), tarayıcı veri hırsızlığı (GetBrowserData hedefleme kenarı, krom, firefox ve naver balinası) ve komut ve kontrol (C2) iletişimine (çalışma işlevi) değişen 11 farklı işlevi ortaya koymaktadır.
Bu işlevler, kötü amaçlı yazılımların çerezler, giriş bilgileri ve donanım detayları gibi hassas bilgileri çalmasını, bunları zip dosyalarına sıkıştırmasını ve uzak sunuculara yüklemesini sağlar.
Ayrıca, kod çözülmüş 2.log dosyası, starcının invaziv özelliklerinin altını çizerek anahtarlama, pano izleme ve pencere başlığı günlüğünü kolaylaştırır.
Kimuky’nin ağla ilgili verilere odaklanması, gelecekteki istismarlar için aktif keşif önermektedir ve görev kaydı gibi kalıcılık mekanizmaları, uzlaşmış sistemlere uzun vadeli erişim sağlıyor.
Bu kampanya, bireysel ve organizasyonel güvenlik için önemli bir tehdit oluşturan, kaçış ve etkiyi en üst düzeye çıkarmak için çeşitli komut dosyalarını ve yükleri birbirine bağlayan zaman yoğun, çok bileşenli bir stratejiyi yansıtır.
Kimuky gibi tehdit aktörleri tekniklerini geliştirmeye devam ettikçe, saygın güvenlik çözümleri dağıtmak çok önemli hale geliyor.
K7 Labs’ın çeşitli enfeksiyon aşamalarında proaktif tespiti ile desteklenen K7 antivirüs gibi araçlar, bu tür sofistike stealer’lara karşı koymak ve gelişen siber tehditlere karşı duyarlı verileri korumak için gereklidir.
Uzlaşma Göstergeleri (IOCS)
| İsim | Doğramak | Tespit Adı |
|---|---|---|
| 1.vbs | CE4549607E46E656D8E019624D5036C1 | Trojan (0001140E1) |
| 1.ps1 | 1119a977a925ca17b554dted2cbabd85 | Trojan (0001140E1) |
| 1.log | 64677cae14a2ec4d393a81548417b61b | Trojan (0001140E1) |
SOC ekibini kurmak mı? -SOC ekibiniz için ücretsiz Ultimate SIEM Fiyatlandırma Kılavuzu’nu (PDF) indirin -> Ücretsiz İndir