Kadife Chollima, Kara Banshee, TALYUM veya Zümrüt Yağmuru olarak da bilinen Kimsuky, çeşitli ülkelerin siyasi, ekonomik ve ulusal güvenlik çıkarlarını hedef almak için karmaşık yöntemler kullanan, Kuzey Kore devlet destekli gelişmiş bir siber casusluk grubudur.
Uluslararası siber arenada çok tehlikeliler çünkü yaklaşımlarını sürekli değiştiriyorlar ve alışılmışın dışında düşünüyorlar.
Kimsuky’nin kötü amaçlı yazılımı “HappyDoor” ilk olarak AhnLab tarafından 2021’de keşfedildi ve o zamandan beri sürekli olarak kullanıldı. Verilere girmek için sürekli olarak iyileştirildiği için yazılımda 2024’e kadar değişiklikler yapıldı.
Kimusk’un Mutlu Kapısı
En son sürüm (4.2), sabit kodlanmış olan oluşturma tarihini içerir ve sürüm bilgilerinde, dışa aktarma DLL adı ve hata ayıklama dizeleri “happy” der.
Ücretsiz web seminerimize katılarak şunları öğrenin: yavaş DDoS saldırılarıyla mücadelebugün büyük bir tehdit.
Bu durum, ASEC’teki siber güvenlik analistlerinin ona “HappyDoor” adını vermesine yol açtı.
Bu durum, kötü amaçlı yazılımın kullanımının artmasıyla birlikte gelişiminin de devam ettiğini, zamanla nasıl kalıcı hale geldiğini ve evrimleşerek tüm zamanların önde gelen siber güvenlik tehditlerinden biri haline geldiğini göstermektedir.
Kimsuky tehdit grubu, AppleSeed, AlphaSeed ve HappyDoor gibi kötü amaçlı yazılımları hedefli kimlik avı e-postaları kullanarak yaymakla biliniyor.
HappyDoor genellikle e-posta ekleri olarak dağıtılır ve meşru sahte dosyalarla birlikte yürütülür. Bunun yanı sıra, başlangıçta alışılmadık yürütme argümanları da kullanır.
Son zamanlarda bazı durumlarda HappyDoor’un ana arka kapı olarak kurulduğu gözlemlenmektedir.
AhnLab’ın TIP adli tıp raporu, Kimsuky’nin siber güvenlik tehditlerine ilişkin taktiklerini nasıl değiştirdiğini gösteren bu 2024 olaylarını açıklıyor.
İlk olarak 2021 yılında tespit edilen HappyDoor kötü amaçlı yazılımı, 2024’e kadar sürekli olarak geliştirildi. Tehdit aktörü, sabit kodlanmış sürüm bilgileriyle birlikte her ay yeni sürümler gönderiyor.
Başlangıçta herhangi bir yürütme argümanı olmayan HappyDoor, 4.1 (2023) sürümünden itibaren “/i” argümanlarını kullanarak evrimleşmiştir.
Bu kötü amaçlı yazılımın davranışı, bir dizi “install*” (daha sonra karışık), “init*” ve “run*” içeren bu argümanlarla değişir. Evrim, tehdidin devam eden bir gelişimini ve artan karmaşıklığını gösterir.
DLL tabanlı kötü amaçlı yazılım HappyDoor’un üç aşaması vardır: kurulum, başlatma ve yürütme. Kayıt defteri değerlerini değiştirerek, görev zamanlayıcısını kullanarak birçok görev oluşturarak ve bunları şifreleyerek kalıcılık kazanır ve verileri çalar.
Bu tür kötü amaçlı yazılımlar, ekran görüntüsü alma, tuş vuruşu kaydı ve dosya izleme gibi çeşitli önemli bilgi çalma operasyonları gerçekleştirir.
Kimlik doğrulama, veri sızdırma ve arka kapı komutları için C2 sunucularıyla iletişim kurmak amacıyla şifrelenmiş HTTP paketleri kullanır.
HappyDoor, gelişmiş tasarımı ve sahip olduğu geniş özellik yelpazesi nedeniyle sistem güvenliği açısından büyük bir risk oluşturmaktadır.
Kuzey Kore destekli Kimsuky grubu, kimlik avı saldırılarında akademisyen gibi davranarak arka kapılar kuran zararlı yazılımlar dağıtıyor.
Uzaktan sistemleri kontrol etmek, ayrıcalıkları yükseltmek ve bilgileri çalmak için diğer kötü amaçlı yazılım türlerinin yanı sıra proxy araçlarını kullanırlar. Bu, sertifika ihlalleri de dahil olmak üzere verileri riske atabilir.
Bunun sonucunda, kuruluşlar enfeksiyonlardan kaçınmak için yazılım izlemeyi geliştirmeli, güvenlik yamaları uygulamalı ve sistemlerini güncel tutmalıdır; kullanıcılar ise e-posta yoluyla bilinmeyen ekleri veya dosyaları indirmekten her ne pahasına olursa olsun kaçınmalıdır.
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo