Sızıntılar tarafından “Kim” adlı Kuzey Koreli bir aktöre atfedilen nadir bir ihlal, Kimuky (APT43) operasyonlarına benzeri görülmemiş bir içgörü ortaya koydu.
“Kim” dökümü olarak adlandırılan 9 GB veri kümesi, aktif Bash geçmişleri, kimlik avı alanları, OCR iş akışları, özel stagers ve Linux rootkit kanıtlarını içeriyor-Güney Koreli ve Tayvanlı ağları hedeflemek için Çin dil takımlarını ve altyapısını kullanan hibrit bir kampanyayı yeniden canlandırdı.
Bu sızıntı, hükümet PKI sistemlerine, ileri AITM kimlik avına ve derin sistem kalıcılığını hedefleyen kimlik odaklı bir saldırı modelini vurgulamaktadır.
Bölüm I: Döküm malzemelerinin teknik analizi
Etkileşimli kötü amaçlı yazılım geliştirme
Terminal geçmişi dosyaları, yinelemeli derleme ve temizleme komutlarıyla düşük seviyeli kabuk kodu için NASM kullanarak anında kötü amaçlı yazılım montajını gösterir. Bu uygulamalı yaklaşım, ısmarlama bir yükleyici ve enjeksiyon aracı iş akışının altını çizer.
OCR güdümlü keşif
OCR komutları PKI standartları ve VPN yapılandırmalarında Koreli dil PDF’lerini işledi. Koşarak ocrmypdf -l kor+eng Gibi belgelere karşı Yönetici Elektronik İmza_teknik Gereksinimleri_141125.pdfaktörün taraması ve kimlik bilgisi sahteciliği için sertifika ve ağ yapılandırma verileri.
Ayrıcalıklı erişim yönetimi (PAM) günlükleri
변경완료 (“Değiştirme Tamamını Değiştir”) ile etiketlenen PAM günlük girişleri, yüksek pratik hesapların sistematik dönüşlerini (ORACLE, SVRADMIN, APP_ADM01), sürekli arka uç erişimine yol açar.
Gelişmiş kimlik avı altyapısı
Sahtekarlık alanları ağı (NID-Güvenlik[.]com, webcloud-farkı[.]com, koala-app[.]com) Kore hükümet portallarını taklit etti, gerçek zamanlı olarak kimlik bilgilerini yakalamak için AITM vekillerini konuşlandırdı. Burner e -postalar (örn. Jeder97271[@]Wuzak[.]com) Stealth kimlik bilgisi koleksiyonunu kolaylaştırdı.
Linux rootkit implant
Döküm, syscall kanca ve gizli kanallar kullanan gizli bir rootkit (vmmisc.ko) içerir. Kurulu /usr/lib64/tracker-fs/Şifre Korumalı İstemci İkili aracılığıyla SOCKS5 Proxy, Pty Backdoor Shells ve Şifreli Kontrol Oturumları sunarken dosyaları, işlemleri ve ağ bağlantı noktalarını gizler.
Tayvan Keşif
Ağ günlükleri, Tayvan hükümetine ve akademik IP’lere (.tw alanları ve doğrudan .git taramaları) hedefli erişim göstermektedir, bu da iç depolara ve bulut kimlik doğrulama portallarına yönelik tedarik zinciri keşiflerini gösterir.
DCC.MIL gibi resmi devlet kurumlarını taklit eden sitelerde daha sofistike sahtekarlık görüldü.[.]Kr, spo.go[.]Kr ve mofa.go[.]Kr.
![Dysoni91@Tutamail tarafından oluşturulan alan adları[.]com.](https://gbhackers.com/wp-content/uploads/2025/09/image-35-1024x520.webp)
Bölüm II: APT aktörünün motivasyonu ve hedefleri
Kimlik bilgisi hakimiyeti ve PKI uzlaşması
Kampanyanın merkezinde GPKI sertifikalarının hırsızlığı var (örneğin, 136백운규001_env.key) ve düz metin şifreleri, Güney Kore hükümet sistemlerinde kimlik sahtekarlığı sağlar. OCR tarafından çıkarılan politika dili ve PAM günlükleri, kimlik bilgisi hasat, sertifika kötüye kullanımı ve içeriden seviye kalıcılık stratejisini doğrular.
Tayvan’a genişleme
Kore’nin ötesinde, aktör Tayvanlı kurumsal portalları araştırdı (Tw.systexcloud[.]com, mlogin.mdfapps[.]com) ve .git depoları (caa.org[.]TW), casusluk, tedarik zinciri infiltrasyonu ve kimlik bilgisi hırsızlığı için genişletilmiş bir bölgesel yetkiye işaret ediyor.
Hibrit DPRK – PRC Footprint
Yerelleştirilmiş Kore dil artefaktları ve UTC+9 sistem ayarları DPRK kökenine işaret ederken, Çin platformlarının (Gitee, Baidu, Zhihu) ve basitleştirilmiş Çin tarama davranışı, Çin içinde fiziksel operasyonu veya PRC altyapı desteğini göstermektedir. Bu füzyon, erişimini güçlendirir ve ilişkilendirmeyi gizler.
Uzun vadeli kalıcılık
Manuel kabuk kodu derlemesi, rootkit dağıtım ve AITM kimlik avı, eski okul taktiklerinin modern aldatma ile bir karışımını yansıtır. Operatörün kültürel kamuflaj – Çin sosyal medya eserlerine gömülü – daha da gerçek kimliklerini gizler ve daha güvenilir yemleri sağlar.
Bölüm III: Analistler için CTI Rapor Bölmesi
Taktikler, Teknikler ve Prosedürler (TTPS)
- NASM tabanlı kabuk kodu geliştirme ve karma çözülmüş API çağrıları.
- Kore PKI ve VPN belgelerinin OCR ekstraksiyonu.
- TLS proxy ve brülör e -postaları aracılığıyla AITM kimlik avı.
- Syscall kancası ve şifreli arka kapı ile Linux rootkit.
- Tayvanlı .git depolarının doğrudan keşfi.
Öneriler
- Geliştirici ana bilgisayarlarında NASM araç zinciri artefaktlarını izleyin.
- Hassas PDF koleksiyonlarına karşı OCR takım kullanımını tespit edin.
- Bilinen kimlik avı alanları ve AITM vekilleri blok ve düden.
- Şüpheli rootkit yollarında dosya entegre izleme kullanın.
- Yetkisiz “변경완료” girişleri için Pam ve SSH günlüklerini denetleyin.
Şüphesiz, “Kim” dökümünün daha fazla analizi ek yeni bilgiler ortaya koyacaktır. Analistler ve savunucular, bu gelişen hibrit APT tehdidini kısıtlamak için kalan yanmış varlıkları veya klonlanmış altyapıları gözden geçirmeye ve etkisiz hale getirmeye devam etmelidir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.