Genel Güvenlik Merkezi (GSC) tarafından yapılan yakın tarihli bir soruşturma, Kuzey Kore’ye hizalanmış ileri süren tehdit (APT) grubuna atfedilen son derece sofistike, çok kanallı siber casusluk kampanyası ortaya çıkardı.
Mart ve Nisan 2025 arasında grup, öncelikle savunma sektörü, Kuzey Kore ile ilgili aktivistler ve kripto para birimi borsalarında hedeflere sızmak için Facebook, e-posta ve telgraftan yararlandı.
‘Appleseed’ kodlu kampanya, Kore’ye özgü sıkıştırılmış dosya formatlarını, kodlanmış kötü amaçlı komut dosyalarını ve kalıcı çok aşamalı enfeksiyon zincirlerini kullanmasıyla dikkat çekiyor.
.png
)
Tallium, Black Banshee ve Velvet Chollima olarak da bilinen Kimuky, en az 2013’ten beri ABD ve Japonya’daki organizasyonları hedeflerken Güney Kore’deki hükümet kuruluşlarına odaklanıyor.
Grubun en son operasyonları, uzaktan komut yürütme, veri eksfiltrasyonu ve ek yük dağıtımına sahip modüler bir kötü amaçlı yazılım olan Appleseed Backdoor’u dağıtarak bir sosyal mühendislik ve teknik subterfuge karışımını kullanır.
Üçlü kombo tehdidi analizi
Kampanya üç farklı ve birbirine bağlı kanaldan geçti:
- Facebook tabanlı saldırılar: Tehdit oyuncusu, Kuzey Kore ile ilgili faaliyetlerde yer alan kişilere arkadaşlık istekleri ve doğrudan mesajlar göndermek için ‘Geçiş Adalet Misyonu’ gibi kaçırılmış veya taklit edilen Facebook hesaplarını kullandı. Misyoner veya araştırmacı olarak poz veren saldırganlar, kötü niyetli dosyalar içeren şifre korumalı yumurta arşivlerini paylaştı. Arşivler, mobil cihazlardan ziyade Windows PC’lerde yürütmeyi sağlamak için tasarlanmış bir taktik olan belirli Kore dekompresyon araçlarını gerektiriyordu.
- E-posta tabanlı mızrak kimlik avı: Facebook aracılığıyla iletişim kurduktan sonra, saldırganlar hedefin e-posta adresini istedi ve mızrak aktı e-postaları takip etti. Bu e -postalar, yine yumurta arşivleri kullanılarak büyük ekler veya gömülü URL’ler içeriyordu. Alıcılara, pencereler merkezli enfeksiyon vektörünü güçlendiren belirli bir dekompresyon aracı kullanmaları talimatı verildi.
- Telgraf ve çok aşamalı teslimat: Saldırgan hedefin cep telefonu numarasını elde ederse, saldırıyı telgrafla artırdılar ve ‘Kuzey Kore defektörlerine gönüllü destek’ kisvesi altında yapısal olarak aynı kötü amaçlı dosyalar sundular. Çok aşamalı yaklaşım, kalıcı erişim ve en aza indirilmiş tespit sağladı.
Kötü amaçlı yazılım yükü ve komut ve kontrol
Rapora göre, kampanyanın çekirdeği ‘탈북민지원봉사활동 .jse’ adlı kötü amaçlı bir JavaScript dosyasına odaklandı (Defector Gönüllü Desteği.jse).
Windows Script ana bilgisayar (WSH) aracılığıyla yürütüldükten sonra, komut dosyası iki dosya oluşturur: iyi huylu görünümlü bir PDF tuzağı ve ‘vmzmxsx.enwm’ adlı kötü niyetli bir DLL.
PDF, komut dosyasında depolanan Base64 kodlu verilerden oluşturulurken, DLL iki kez kodlanır-ilk olarak Base64’te, daha sonra kod çözme için PowerShell ve Certutil kullanılarak.
VMProtect tarafından korunan DLL, aşağıdakiler kullanılarak sessizce yüklenir:
textregsvr32.exe /s /n /i:tgvyh!@#12 vmZMXSx.eNwm
Dllinstall işlevi ‘tgvyh!@#12’ parametresi ile çağrılır; Eşleşmeyen parametreler kendi kendini aşılamayı tetikler.
DLL’nin yükü bir XOR tuşu (0x5E) kullanılarak kod çözülür ve belleğe taşınır.
Kalıcılık için, kötü amaçlı yazılım Windows Kayıt Defteri’ne (HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RUN) bir ‘TripserviceUpdate’ girişini kaydeder ve ‘C: \ Users $$ kullanıcı adı]\ AppData \ Roaming \ Trip \ Service \’ de ek yükler depolar.
İşletimsel olduğunda, kötü amaçlı yazılım sistem bilgilerini toplar, UAC ve yönetim ayrıcalıklarını kontrol eder ve verileri bir ZIP dosyasına sıkıştırır.
ZIP RC4 ile şifrelenir ve oturum anahtarı RSA ile daha da şifrelenir.
Şifrelenmiş veriler, ‘woana.ne adresindeki bir komut ve kontrol (C2) sunucusuna iletilir[.]Enfekte sistemin hacim seri numarasından ve kullanıcı adından türetilen benzersiz tanımlayıcılar kullanarak HTTP Post istekleri üzerinden KR ‘.
Devam eden tehdit ve tespit zorlukları
Kimuky’nin kampanyası, Kuzey Kore siber operasyonlarının gelişen sofistike olmasını vurgulamaktadır.
Grubun otomatik komut dosyası oluşturma, çok aşamalı enfeksiyon ve VMProtect ve çift kodlu yükler gibi kaçınma teknikleri kullanımı, geleneksel imza tabanlı güvenlik ürünleri için önemli zorluklar oluşturmaktadır.
Bununla birlikte, Genian EDR gibi uç nokta algılama ve yanıt (EDR) çözümleri, süreç ilişkilerini haritalayarak, baz 64 kodlu komut dosyalarını kodlayarak ve tehdit algılaması için makine öğreniminden yararlanarak gelişmiş görünürlük sağlayabilir.
Güvenlik ekiplerinin beklenmedik dosyalara, özellikle de belirli dekompresyon araçlarına ihtiyaç duyanlara karşı uyanık kalmaları ve şüpheli kayıt defteri değişikliklerini ve ağ trafiğini izlemeleri tavsiye edilir.
Kimuky yenilik yapmaya devam ettikçe, kuruluşlar benzer APT kampanyaları riskini azaltmak için davranış temelli tespit, düzenli yama ve kullanıcı eğitimi de dahil olmak üzere katmanlı savunmaları benimsemelidir.
Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun