Siber Savaş / Ulus Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar
Kimsuky Son Kampanyasında Sızdırmaya Odaklanıyor
Prajeet Nair (@prajeetspeaks) •
24 Mayıs 2023
Kuzey Koreli bilgisayar korsanları, insan hakları aktivistlerini ve Kuzey Koreli sığınmacıları destekleyen kuruluşlara karşı bilgi sızdırma kampanyaları için özel olarak oluşturulmuş kötü amaçlı yazılımları kullanıyor.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakende Sektörünün ATO ve Dolandırıcılığı Önleme Zorluğunun Üstesinden Gelmek
Siber güvenlik firması SentinelOne, Salı günkü bir blog gönderisinde, Kuzey Koreli gelişmiş kalıcı tehdit grubu Kimsuky’nin, Pyongyang tehdit aktörünün temelini oluşturan RandomQuery kötü amaçlı yazılımının yeni bir türünü dağıttığını yazdı. Kimsuky, düşünce kuruluşlarını ve gazetecileri hedef alma konusunda uzmandır.
Bulgular, ABD hükümetinin Kuzey Kore hükümetinin yasa dışı faaliyetlerini desteklemek için kötü niyetli faaliyetlerden gelen ödemeleri yönlendirmeye karışan dört kuruluşa ve bir kişiye yaptırım uyguladığı gün geldi (bkz:: ABD, Rejim Fonu Gönderdiği İçin Kuzey Kore Kuruluşlarına Yaptırımlar Verdi).
Kimsuky, kötü amaçlı yazılımı, öncelikle yazılım belgelerinde kullanılan sıkıştırılmış HTML belgeleri olan derlenmiş HTML dosyalarını kullanarak dağıtıyor. Kötü amaçlı yazılımı CHM dosyaları aracılığıyla iletmek, Kuzey Koreli tehdit aktörü tarafından yaygın olarak kullanılan bir taktiktir.
Bu kampanyadaki RandomQuery varyasyonu, “dosya numaralandırma ve bilgi sızdırma tek amacına” sahiptir; bu, son zamanlarda Kuzey Kore’de keylogging ve ek kötü amaçlı yazılımların yürütülmesi gibi daha geniş bir işlev dizisini desteklemek için kötü amaçlı yazılımın kullanıldığı gözlemlenmesinin aksine.
İlk saldırı vektörü, Güney Koreli e-posta sağlayıcısı Daum’da kayıtlı hesaplardan gönderilen ve Korece yazılmış kimlik avı e-postalarıdır. Araştırmacılar tarafından ortaya çıkarılan sahte belge, “Kuzey Kore insan hakları örgütlerinin faaliyetlerindeki zorluklar ve bunları canlandırmak için önlemler” başlıklı, şifre korumalı bir arşivde saklanan bir CMH dosyasıdır.
Bu kampanya aynı zamanda aşağıdakiler gibi daha az kullanılan üst düzey alan adlarını kullanan altyapıya da bağlıdır: .space, .asia, .click Ve .online.