Ahnlab Güvenlik İstihbarat Merkezi (ASEC), kötü şöhretli Kuzey Kore hackleme grubu Kimuky ile bağlantılı “Larva-24005” adlı sofistike bir siber kampanyanın ayrıntılı bir analizini yayınladı.
Bu operasyon, Ekim 2023’ten bu yana yazılım, enerji ve finans endüstrileri de dahil olmak üzere Güney Kore’de kritik sektörleri hedeflemektedir.
Hedeflenen endüstriler ve küresel saldırı vektörleri
Larva-24005 operasyonu büyük ölçüde Güney Koreli varlıklara odaklanıyor, ancak Amerika Birleşik Devletleri, Çin, Japonya, Almanya, Singapur ve diğer bazı ülkelerde sistemleri içerecek şekilde erişimini genişletti.
.png
)
Kampanya, bu sistemlere sızmak için bir dizi gelişmiş araç ve teknikten yararlanır ve Blueeps (CVE-2019-0708) olarak bilinen meşhur RDP güvenlik açığı gibi güvenlik açıklarından yararlanır.
Rapora göre, Bluekeeps RDP güvenlik açığının sömürülmesi yoluyla tehlikeye atılan sistemlere ilk erişim sağlandı.
Adli kanıt, RDP güvenlik açığı tarayıcılarının mevcut olmasına rağmen, gerçek ihlallerde doğrulanmış bir kullanım olmadığını göstermektedir.
Bunun yerine, saldırganlar yüklerini sunmak için kimlik avı e -postaları ve diğer istismar vektörlerinin bir karışımını kullandılar.
Güney Kore ve Japonya’daki hedeflere gönderilen kimlik avı e-postaları, Microsoft Office denklemi editörü güvenlik açığını (CVE-2017-11882) kullanan kötü amaçlı ekler içeriyordu ve daha da kötü amaçlı yazılım dağıtımı sağladı.
Kötü amaçlı yazılım ekosistemi ve sistem proliferasyonu
Ağın içine girdikten sonra, tehdit aktörleri çeşitli kötü amaçlı yazılım süitleri kurmak için damlalar kullandı:
- RDPWRAP: Sistem ayarlarını değiştirerek kalıcı uzaktan erişimi kolaylaştırır.
- Myspy: Sistem bilgilerini toplar.
- Kimalogger ve randomquery: Kullanıcı girişlerini yakalayan anahtarlogerlar.
Bu araçlar, CLI ve GUI için RDPSCanner gibi diğer kamu hizmetlerinin yanı sıra, Kimuky’nin sürekli erişim ve veri açığa çıkmasını sağlamak için yükleyicilerin ve enfeksiyon mekanizmalarının stratejik kullanımını sergiliyor.
Altyapı analizi, saldırganların ağırlıklı olarak komuta ve kontrol (C2) operasyonları için KR alanlarını kullandıklarını ortaya koydu.
Örneğin, urls http[:]// yıldız7[.]hanım[.]KR/Giriş/Yardım/Gösteri[.]Php? _dom = 991 ve http[:]// www[.]imza[.]içinde[.]mogovernts[.]hanım[.]Kr/rebin/dahil[.]PHP? _SYS = 7, trafiğin yeniden yönlendirilmesini yönetmek için sofistike bir kurulumu vurgulayarak iletişim kanallarının bir parçasıydı ve potansiyel olarak başlangıç tespitinden kaçındı.
Bu kampanya, bu tür gelişmiş kalıcı tehditleri engellemek için zamanında yamalama ve sağlam siber güvenlik uygulamalarının önemini gösteren, taktiklerini geliştirmeye ve yetkisiz erişim elde etmek için bilinen güvenlik açıklarından yararlanmaya devam eden Kissuky gibi devlet destekli aktörlerin ortaya koyduğu tehdidin altını çiziyor.
Uzlaşma Göstergeleri (IOCS)
İşte bu kampanyayla ilişkili bazı IOC’ler:
| MD5 | URL/FQDN |
|---|---|
| 117Fecd07e3AD608C745C81225E4544 | HTTP[:]// yıldız7[.]hanım[.]KR/Giriş/Yardım/Gösteri[.]PHP? _Dom = 991 |
| 14CAAB369A364F4DD5F58A7BCA34DA6 | HTTP[:]// yıldız7[.]hanım[.]KR/Giriş/IMG/Gösteri[.]PHP? Çıkış = 177 |
| 184A4F3F00CA40D10790270A20019BB4 | HTTP[:]// www[.]imza[.]içinde[.]mogovernts[.]hanım[.]Kr/rebin/dahil[.]php? _sys = 7 |
| 30BCAC6815BA2375BEFIF3DAF22FF28698 | erişim-apollo sayfası[.]tekrar[.]KR |
| 46CD19C3DAC97BFA1A90028A28B5045 | erişim-apollo-star7[.]hanım[.]KR |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!