Kuzey Koreli siber casusluk grubu Kimsuky, yeni keşif amaçlı kötü amaçlı yazılım bırakan kötü amaçlı makrolarla donanmış belgelerdeki Microsoft OneDrive bağlantılarını kullanan yeni bir hedef odaklı kimlik avı kampanyasıyla saldırı cephaneliğini genişletti.
SentinelLabs’teki araştırmacılar, tehdit aktörünün Kore Demokratik Halk Cumhuriyeti’ni (KDHC) doğrudan ve dolaylı olarak etkileyen konularda uzmanlaşmış bir bilgi ve analiz şirketi olan Korea Risk Group (KBY) personelini hedef alan yeni bir kampanyasını gözlemledi.
Aynı kampanyanın, Kuzey Amerika, Avrupa ve Asya’daki hükümet kuruluşları, araştırma merkezleri ve düşünce kuruluşları gibi tipik hedeflerin yanı sıra üniversitelerdeki bireyleri (Kimsuky için yeni bir kurban havuzu) hedeflemek için de kullanıldığına inanıyorlar. yakın tarihli bir blog gönderisinde.
SentinelOne’dan Tom Hegel ve Aleksandar Milenkoski gönderide kampanyanın, daha önce geçen yılın sonlarına doğru kampanyalarda kullanılan BabyShark adlı özel bir kötü amaçlı yazılım varyantının bir bileşeni olan ve bu nedenle adını alan ReconShark adlı yeni kötü amaçlı yazılımı kullanan uzun süredir devam eden APT’yi gösterdiğini yazdı.
Araştırmacılar, ReconShark’ın, dosya adlandırma kurallarındaki çakışmalara, kullanılan kötü amaçlı yazılım hazırlama tekniklerine ve kod biçimine dayalı olarak, hedeflenen ağlara erişim elde etmek için konuşlandırılmış algılama mekanizmaları ve donanım bilgileri dahil olmak üzere bilgileri sızdırabileceğini söyledi.
Araştırmacılar gönderide, kötü amaçlı yazılımın “muhtemelen savunmalardan kaçınmak ve platform zayıflıklarından yararlanmak için özel olarak tasarlanmış kötü amaçlı yazılımları içeren, sonraki hassas saldırılara olanak tanıyan Kimsuky tarafından yönetilen bir keşif operasyonunun parçası” gibi göründüğünü yazdı.
Özenle Hazırlanmış E-postalar
Araştırmacılar, mızrakla kimlik avı genellikle Kimsuky’nin çalışma tarzının bir parçası olsa da, grubun şüphe uyandırmamak için son kampanyada e-postaları dikkatli bir şekilde oluşturmaya özel önem verdiğini söyledi.
“[They] belirli kişiler için ayarlanmış bir tasarım kalitesi düzeyiyle yapılır ve hedef tarafından açılma olasılığını artırır” diye yazdı araştırmacılar. “Bu, şüphelenmeyen kullanıcılara meşru görünen uygun biçimlendirme, dilbilgisi ve görsel ipuçlarını içerir.”
Mesajların ayrıca, siyaset bilimciler gibi cazibe konusuyla ilgili uzmanlığı olan gerçek kişilerin adlarını da kötüye kullandığını belirttiler.
Araştırmacılar, özellikle, kötü amaçlı belgeleri indirmek için bağlantılar içeren hedeflenen e-postaların ve kötü amaçlı belgelerin kendilerinin, “Siyaset Bilimcileri” gibi uzmanlıkları cazibe konusuyla ilgili gerçek kişilerin adlarını kötüye kullandığını söyledi.
KRG’ye karşı kampanya, mesajda indirilmek üzere sunulan – ReconShark’ı çalıştıran makroları içeren – kötü amaçlı belgeyi barındırmak için özellikle Microsoft OneDrive’ı kullandı.
Örneğin, kampanyada kullanılan sahte bir e-postada, kötü amaçlı yazılımı indirmek için kötü amaçlı bir makro içeren “Research Proposal-Haowen Song.doc” adlı parola korumalı bir belge dosyasına OneDrive paylaşılan dosya bağlantısı dahil edildi.
Araştırmacılar, indirildikten sonra ReconShark’ın ana sorumluluğunun, çalışan işlemler, sisteme bağlı pil hakkındaki bilgiler ve dağıtılan uç nokta tehdit algılama mekanizmaları gibi virüslü platform hakkındaki bilgileri sızdırmak olduğunu söyledi. Kötü amaçlı yazılımın, işlem ve pil bilgilerini sorgulamak için Windows Yönetim Araçları’na (WMI) bağlı olması bakımından önceki BabyShark türevlerine benzediğini eklediler.
Ancak araştırmacılar, ReconShark’ın hedeflenen sistemle ilgili verileri çalmaktan daha fazlasını yapabileceğini söyledi. Ayrıca, komut dosyaları (VBS, HTA ve Windows Batch), makro etkin Microsoft Office şablonları veya Windows DLL dosyaları olarak uygulanan çok aşamalı bir şekilde daha fazla yük dağıtabilir.
Araştırmacılar gönderide, “ReconShark, virüslü makinelerde hangi algılama mekanizması işlemlerinin çalıştığına bağlı olarak hangi yüklerin konuşlandırılacağına karar veriyor” dedi.
Hedef Tabanını Genişletmek
Thallium olarak da izlenen Kimsuky, 2018’den beri çeşitli araştırmacıların radar ekranlarında yer alıyor ve SentinelOne’ın söylediğine göre 2012’ye kadar uzanan önceki etkinliği geniş çapta rapor edildi. Daha önceki saldırılarda grup, esas olarak araştırma kurumlarına, jeopolitik düşünce kuruluşlarına ve – özellikle pandeminin en yoğun olduğu dönemde – ilaç şirketlerine karşı siber casusluk yapmaya odaklanmıştı.
Kimsuky’nin son faaliyetleri, güvenlik araştırmacıları arasındaki profilini yükseltmiş olsa da, grup yılmaz görünüyor ve operasyonlarını genişletmeye devam ediyor. Aslında yeni kampanya, Kimsuky’nin hedef yelpazesine üniversiteleri de eklediğini gösteriyor ki siber güvenlik şirketi Coro’nun kurucu ortağı Dror Liwer, siber güvenlik savunmaları ve bilinçlendirme programlarının genel eksikliği nedeniyle bunun “endişe verici” olduğunu söylüyor.
Dark Reading’e bir e-postada, “Geçen yıl ABD’deki eğitim kurumlarına yönelik saldırılarda, saldırganların bakış açısından mükemmel bir fırtına tarafından yönlendirilen üç basamaklı bir artış gördük: Son derece değerli veriler ve eksik savunma” dedi. .
Genel olarak, kuruluşlar, genel olarak iyi e-posta güvenlik hijyeni uygulayarak, örneğin şüpheli etkinlik için gelen iletileri kontrol ederek kullanıcılara ulaşmadan önce işaretlenmelerini sağlayarak, Kimsuky ve diğer aktörlerin hedefli kimlik avı kampanyalarından kaynaklanan saldırıları engelleyebilir.
Uzmanlar, çalışanları ve bir kuruluşun e-posta sistemini kullanan diğer kişileri eğitmenin, diğer güvenlik savunmalarından sızan kötü amaçlı mesajları tespit etmelerine ve böylece uzlaşmayı önlemelerine yardımcı olabileceğini söylüyor.