Kuzey Koreli tehdit aktörü olarak bilinen Connie Blockchain sektöründeki geliştiricileri ve mühendislik ekiplerini hedef almak için yapay zeka (AI) araçları kullanılarak oluşturulan PowerShell kötü amaçlı yazılımının kullanıldığı gözlemlendi.
Check Point Research geçen hafta yayınlanan bir teknik raporda, kimlik avı kampanyasının Japonya, Avustralya ve Hindistan’ı hedef aldığını ve saldırganın hedefleme kapsamının Güney Kore, Rusya, Ukrayna ve Avrupa ülkelerinin ötesine genişlediğini vurguladığını söyledi.
En az 2014’ten beri aktif olan Konni, öncelikle Güney Kore’deki kuruluşları ve bireyleri hedeflemesiyle tanınıyor. Ayrıca Earth Imp, Opal Sleet, Osmium, TA406 ve Vedalia isimleriyle de takip ediliyor.
Kasım 2025’te Genians Güvenlik Merkezi (GSC), bilgisayar korsanlığı grubunun, kurban cihazlarını uzaktan sıfırlamak ve onlardan kişisel verileri silmek için Google’ın varlık izleme hizmeti Find Hub’ı kullanarak Android cihazlarını hedeflemesinin ayrıntılarını açıkladı ve bu da ticari faaliyetlerinde yeni bir yükselişin sinyalini verdi.
Bu ay gibi yakın bir tarihte Konni’nin, güvenlik filtrelerini aşmak ve EndRAT kod adlı bir uzaktan erişim truva atı sunmak için Google ve Naver’in reklam platformlarıyla ilişkili zararsız reklam URL’leri gibi görünen kötü amaçlı bağlantılar içeren hedef odaklı kimlik avı e-postaları dağıttığı gözlemlendi.
Saldırılar, Kuzey Kore insan hakları örgütlerini ve Güney Kore’deki finans kuruluşlarını taklit eden saldırılarla, kampanyaya GSC tarafından Poseidon Operasyonu kod adı verildi. Saldırılar aynı zamanda, kötü amaçlı yazılım dağıtmak ve komuta ve kontrol (C2) altyapısı için uygun şekilde güvenli olmayan WordPress web sitelerinin kullanılmasıyla da karakterize ediliyor.
E-posta mesajlarının, alıcıları WordPress sitelerinde barındırılan ZIP arşivlerini indirmeleri için kandırmak amacıyla işlem onayları veya banka havalesi talepleri gibi mali bildirimler gibi göründüğü ortaya çıktı. ZIP dosyası, PDF belgesi olarak gizlenmiş bir AutoIt betiğini yürütmek için tasarlanmış bir Windows kısayoluyla (LNK) birlikte gelir. AutoIt betiği, EndRAT (diğer adıyla EndClient RAT) adı verilen bilinen bir Konni kötü amaçlı yazılımıdır.
Güney Kore güvenlik ekibi, “Bu saldırı, Google reklamcılık ekosisteminde kullanılan reklam tıklaması yeniden yönlendirme mekanizmasından yararlanan hedef odaklı kimlik avı saldırı vektörü yoluyla e-posta güvenlik filtrelemesini ve kullanıcı dikkatini etkili bir şekilde atlayan bir durum olarak analiz ediliyor” dedi.
“Saldırganın meşru reklam tıklama takibi için kullanılan bir alan adının yönlendirme URL’si yapısını kullandığı doğrulandı (ad.doubleclick)[.]net) kullanıcıları gerçek kötü amaçlı dosyaların barındırıldığı harici altyapıya aşamalı olarak yönlendirmek için.”
Check Point tarafından belgelenen en son kampanya, aşağıdaki eylem dizisini gerçekleştiren çok aşamalı bir saldırı zincirini açığa çıkarmak için proje gereksinimleri temalı belgeleri taklit eden ve Discord’un içerik dağıtım ağında (CDN) barındırılan ZIP dosyalarından yararlanıyor. Saldırılarda kullanılan tam başlangıç erişim vektörü bilinmiyor.
- ZIP arşivi bir PDF tuzağı ve bir LNK dosyası içerir
- Kısayol dosyası, iki ek dosyayı, bir Microsoft Word yem belgesini ve bir CAB arşivini ayıklayan ve dikkat dağıtma mekanizması olarak Word belgesi olarak görüntüleyen yerleşik bir PowerShell yükleyicisini başlatır.
- Kısayol dosyası, bir PowerShell Arka Kapısı, iki toplu komut dosyası ve Kullanıcı Hesabı Denetimi (UAC) atlaması için kullanılan bir yürütülebilir dosya içeren CAB arşivinin içeriğini çıkarır.
- İlk toplu komut dosyası, ortamı hazırlamak, zamanlanmış bir görevi kullanarak kalıcılık oluşturmak, arka kapıyı hazırlamak ve yürütmek için kullanılır ve ardından adli görünürlüğü azaltmak için kendisini diskten siler.
- PowerShell arka kapısı bir dizi anti-analiz ve korumalı alandan kaçınma kontrolü gerçekleştirir ve ardından sistemin profilini çıkarmaya devam eder ve FodHelper UAC bypass tekniğini kullanarak ayrıcalıkları yükseltmeye çalışır.
- Arka kapı, daha önce bırakılan UAC bypass yürütülebilir dosyasının temizliğini gerçekleştirir, “C:\ProgramData” için Microsoft Defender dışlamayı yapılandırır ve önceden oluşturulan zamanlanmış görevi yükseltilmiş ayrıcalıklarla çalışabilen yeni bir görevle değiştirmek için ikinci toplu komut dosyasını çalıştırır.
- Arka kapı, kalıcı uzaktan erişim için meşru bir Uzaktan İzleme ve Yönetim (RMM) aracı olan SimpleHelp’i bırakır ve tarayıcı dışı trafiğin periyodik olarak ana bilgisayar meta verilerini göndermesini ve sunucu tarafından döndürülen PowerShell kodunu yürütmesini engellemeyi amaçlayan bir şifreleme kapısı tarafından korunan bir C2 sunucusuyla iletişim kurar.
Siber güvenlik şirketi, PowerShell arka kapısının bir yapay zeka aracının yardımıyla oluşturulduğuna dair göstergeler bulunduğunu, bunun modüler yapısını, insan tarafından okunabilen belgeleri ve “# <- kalıcı projenizin UUID'si" gibi kaynak kodu yorumlarının varlığını öne sürdüğünü söyledi.
Check Point, “Kampanyanın hedefi, bireysel son kullanıcılara odaklanmak yerine, uzlaşmanın birden fazla proje ve hizmette daha geniş alt erişim sağlayabildiği geliştirme ortamlarında bir dayanak noktası oluşturmak gibi görünüyor” dedi. “Yapay zeka destekli araçların kullanıma sunulması, kanıtlanmış dağıtım yöntemlerine ve sosyal mühendisliğe güvenmeye devam ederken, geliştirmeyi hızlandırma ve kodu standartlaştırma çabasını gösteriyor.”
Bulgular, uzaktan kontrolü ve veri hırsızlığını kolaylaştıran Kuzey Kore liderliğindeki birden fazla kampanyanın keşfiyle örtüşüyor.
- Uzaktan erişim sağlamak amacıyla bir Visual Studio Code (VS Code) tüneli dağıtmak için Hangul Kelime İşlemci (HWPX) belgelerini ve hükümet temalı tuzak dosyalarını taklit eden JavaScript Kodlu (JSE) komut dosyalarını kullanan bir hedefe yönelik kimlik avı kampanyası
- Sanal ve kötü amaçlı yazılım analiz ortamlarını algılayan ve MoonPeak adı verilen bir uzaktan erişim truva atı sunan bir PowerShell betiğini başlatmak için PDF belgeleri gibi görünen LNK dosyalarını dağıtan bir kimlik avı kampanyası
- Andariel tarafından 2025 yılında gerçekleştirileceği değerlendirilen, TigerRAT sunmak için hukuk sektörüne ait isimsiz bir Avrupalı kuruluşu hedef alan ve ayrıca StarshellRAT, JelusRAT ve GopherRAT dahil olmak üzere üç yeni truva atını alt kurbanlara dağıtmak için Güney Koreli Kurumsal Kaynak Planlama (ERP) yazılım satıcısının güncelleme mekanizmasını tehlikeye atan iki siber saldırı dizisi
Finlandiyalı siber güvenlik şirketi WithSecure’a göre ERP satıcısının yazılımı, HotCroissant ve Xctdoor gibi kötü amaçlı yazılım ailelerini dağıtmak için geçmişte iki kez (2017’de ve tekrar 2024’te) benzer tedarik zinciri ihlallerinin hedefi olmuştu.
JelusRAT, C++ ile yazılmış ve C2 sunucusundan eklenti alma yeteneklerini desteklerken, StarshellRAT, C# ile geliştirilmiş olup komut yürütmeyi, dosya yükleme/indirmeyi ve ekran görüntüsü yakalamayı destekler. Öte yandan GopherRAT, Golang’ı temel alır ve komutları veya ikili dosyaları çalıştırma, dosyaları dışarı çıkarma ve dosya sistemini numaralandırma yeteneğine sahiptir.
WithSecure araştırmacısı Mohammad Kazem Hassan Nejad, “Hedefleri ve hedefleri zaman içinde değişti; bazı kampanyalar finansal kazanç peşinde koşarken diğerleri rejimin öncelikli istihbarat ihtiyaçlarıyla uyumlu bilgi çalmaya odaklandı.” dedi. “Bu değişkenlik, grubun esnekliğinin ve öncelikler zamanla değiştikçe daha geniş stratejik hedefleri destekleme yeteneğinin altını çiziyor.”