Kuzey Kore bağlantılı tehdit aktörü Connie (diğer adıyla Earth Imp, Opal Sleet, Osmium, TA406 ve Vedalia), veri hırsızlığı ve uzaktan kontrol amacıyla hem Android hem de Windows cihazlarını hedef alan yeni bir dizi saldırıyla ilişkilendirildi.
Genians Güvenlik Merkezi (GSC) teknik bir raporda, “Saldırganlar, psikolojik danışmanların ve Kuzey Koreli insan hakları aktivistlerinin kimliğine bürünerek, stres giderme programları görünümünde kötü amaçlı yazılım dağıttılar” dedi.
Android cihazlarını hedef alan saldırılarda dikkate değer olan şey, tehdit aktörlerinin Google’ın varlık izleme hizmetleri Find Hub’ı (eski adıyla Cihazımı Bul) kullanarak kurban cihazlarını uzaktan sıfırlama ve böylece kişisel verilerin izinsiz olarak silinmesine yol açma yönündeki yıkıcı yetenekleridir. Etkinlik Eylül 2025’in başlarında tespit edildi.
Bu gelişme, bilgisayar korsanlığı grubunun mobil cihazları uzaktan sıfırlamak için yasal yönetim işlevlerini ilk kez silah haline getirdiğini gösteriyor. Etkinlikten önce, saldırganların bilgisayarlarına erişim sağlamak için hedef odaklı kimlik avı e-postaları aracılığıyla hedeflere yaklaştığı ve oturum açmış oldukları KakaoTalk sohbet uygulaması oturumlarından yararlanarak kötü amaçlı yükleri kişilerine ZIP arşivi biçiminde dağıttığı bir saldırı zinciri gelir.
Hedef odaklı kimlik avı e-postalarının, Ulusal Vergi Servisi gibi meşru kuruluşları taklit ederek, alıcıları kötü amaçlı eklentiler açmaya yönlendirerek, güvenliği ihlal edilmiş makinelere uzaktan kumanda edebilen ve ek yükler gönderebilen Lilith RAT gibi uzaktan erişim truva atları dağıtmaya yönlendirdiği söyleniyor.
 |
| Konni Saldırı Akışı |
GSC, “Tehdit aktörü, ele geçirilen bilgisayarda bir yılı aşkın bir süre gizli kaldı, web kamerası aracılığıyla casusluk yaptı ve kullanıcı yokken sistemi çalıştırdı” dedi. “Bu süreçte, ilk izinsiz giriş sırasında elde edilen erişim, sistem kontrolüne ve ek bilgi toplanmasına olanak tanırken, kaçırma taktikleri uzun vadeli gizlemeye olanak tanır.”
Kurbanın bilgisayarına yerleştirilen kötü amaçlı yazılım, tehdit aktörlerinin dahili keşif ve izleme yapmasına ve ayrıca kurbanların Google ve Naver hesap kimlik bilgilerine sızmasına olanak tanıyor. Çalınan Google kimlik bilgileri daha sonra Google’ın Find Hub’ına giriş yapmak ve cihazlarının uzaktan silinmesini başlatmak için kullanılır.
Bir vakada, saldırganların Naver altında kayıtlı bir kurtarma e-posta hesabında oturum açtığı, Google’dan güvenlik uyarısı e-postalarını sildiği ve hain etkinliğin izlerini gizlemek için gelen kutusunun çöp kutusunu boşalttığı tespit edildi.
Mesajlaşma uygulaması aracılığıyla yayılan ZIP dosyası, uygulamaya meşruluk yanılsaması vermek için Çinli bir şirkete verilen geçerli bir imzayı kötüye kullanan kötü amaçlı bir Microsoft Installer (MSI) paketi (“Stres Clear.msi”) içeriyor. Başlatıldığında, ilk kurulumu gerçekleştirmek için bir toplu komut dosyasını çağırır ve kötü amaçlı komutlar arka planda yürütülürken, bir dil paketi uyumluluk sorunu hakkında sahte bir hata mesajı görüntüleyen bir Visual Basic Komut Dosyasını (VB Komut Dosyası) çalıştırmaya devam eder.
Bu, harici bir sunucudan alınan ek komutları (“116.202.99”) yürütmek için zamanlanmış bir görev aracılığıyla her dakika çalışacak şekilde yapılandırılmış bir AutoIt betiğinin başlatılmasını içerir.[.]Kötü amaçlı yazılım, Lilith RAT ile bazı benzerlikler taşısa da, gözlemlenen farklılıklar nedeniyle EndRAT (güvenlik araştırmacısı Ovi Liber tarafından EndClient RAT olarak da bilinir) kod adı verilmiştir.
Desteklenen komutların listesi aşağıdaki gibidir:
- kabukBaşlangıçuzak kabuk oturumu başlatmak için
- kabukDurduruzak kabuğu durdurmak için
- yenilemesistem bilgilerini göndermek için
- listesürücüleri veya kök dizini listelemek için
- yukarı gitbir dizin yukarıya gitmek için
- indirmekbir dosyayı dışarı çıkarmak için
- yüklemekbir dosya almak için
- koşmakana bilgisayarda bir program yürütmek için
- silmekana bilgisayardaki bir dosyayı silmek için
Genians, Konni APT aktörlerinin ayrıca, geliştiricileri Breaking Security tarafından 10 Eylül 2025’te yayımlanan Remcos RAT 7.0.4 sürümünü başlatmak için bir AutoIt betiği kullandığını ve bu durumun, düşmanın saldırılarında aktif olarak truva atının daha yeni sürümlerini kullandığını gösterdiğini söyledi. Kurban cihazlarda ayrıca, daha önce Kimsuky tarafından 2023’te kullanıma sunulan bir başka truva atı olan Quasar RAT ve RftRAT da gözlendi.
Güney Koreli siber güvenlik şirketi, “Bu, kötü amaçlı yazılımın Kore odaklı operasyonlara göre tasarlandığını ve ilgili verileri elde etmenin ve derinlemesine analiz yapmanın büyük çaba gerektirdiğini gösteriyor.” dedi.
Lazarus Group’un Yeni Comebacker Varyantı Detaylandırıldı
Açıklama, ENKI’nin, Lazarus Grubunun, casusluk kampanyasıyla tutarlı olarak özel Microsoft Word belge tuzakları kullanarak havacılık ve savunma kuruluşlarını hedef alan saldırılarda Comebacker kötü amaçlı yazılımının güncellenmiş bir sürümünü kullandığını ayrıntılı olarak açıkladığı sırada geldi. Yemler Airbus, Edge Group ve Hindistan Teknoloji Enstitüsü Kanpur’u taklit ediyor.
Bulaşma zinciri, kurbanlar dosyayı açıp makroları etkinleştirdiğinde başlıyor ve yerleşik VBA kodunun, Comebacker’ı bellekte başlatmaktan sorumlu bir yükleyici bileşeniyle birlikte, kullanıcıya görüntülenen sahte bir belgeyi yürütmesine ve iletmesine neden oluyor.
Kötü amaçlı yazılım, HTTPS üzerinden bir komut ve kontrol (C2) sunucusuyla iletişim kurar ve yeni komutları yoklamak veya şifrelenmiş bir yükü indirip yürütmek için bir döngüye girer.
ENKI teknik bir raporda, “Aktörün son derece spesifik yem belgelerini kullanması, bunun hedefe yönelik bir hedef odaklı kimlik avı kampanyası olduğunu gösteriyor” dedi. “Şu ana kadar herhangi bir mağdur raporu olmamasına rağmen, bu yayının yayınlandığı tarihte C2 altyapısı hâlâ aktif durumda.”
Kimsuky Yeni Bir JavaScript Damlalığı Kullanıyor
Bulgular aynı zamanda Kimsuky’nin son operasyonlarında kullandığı yeni bir JavaScript tabanlı kötü amaçlı yazılım bırakıcısının keşfiyle de örtüşüyor ve bu da aktörün kötü amaçlı yazılım cephaneliğini geliştirmeye devam ettiğini gösteriyor. JavaScript kötü amaçlı yazılımının dağıtıldığı ilk erişim mekanizması şu anda bilinmemektedir.
 |
| Kimsuky JavaScript Damlalık Akışı |
Saldırının başlangıç noktası, komutları yürütme, veri sızdırma ve her dakika ilk JavaScript dosyasını başlatmak ve muhtemelen bir tuzak olarak boş bir Word belgesi başlatmak üzere zamanlanmış bir görev oluşturmak için üçüncü aşama bir JavaScript yükünü alma yeteneğine sahip daha fazla JavaScript kodu getirmek üzere düşman tarafından kontrol edilen bir altyapıyla bağlantı kuran bir başlangıç JavaScript dosyasıdır (“themes.js”).
Darbeli Tehdit Araştırması geçen hafta yayınlanan bir analizde, “Word belgesi boş olduğundan ve arka planda herhangi bir makro çalıştırmadığından, bu bir tuzak olabilir” dedi.