Kuzey Kore Bağlantılı Kimsuky, Devam Eden Siber Saldırılarda Derlenmiş HTML Yardım Dosyalarına Geçiyor


24 Mart 2024Haber odasıYapay Zeka / Siber Casusluk

Derlenmiş HTML Yardım Dosyaları

Kuzey Kore bağlantılı tehdit aktörü Kimsuki (diğer adıyla Black Banshee, Emerald Sleet veya Springtail) hassas verileri toplamak amacıyla kötü amaçlı yazılım dağıtmak için Derlenmiş HTML Yardımı (CHM) dosyalarını vektör olarak kullanarak taktiklerini değiştirdiği gözlemlendi.

En az 2012'den beri aktif olan Kimsuky'nin Güney Kore'nin yanı sıra Kuzey Amerika, Asya ve Avrupa'da bulunan kuruluşları hedef aldığı biliniyor.

Rapid7'ye göre saldırı zincirleri, silah haline getirilmiş Microsoft Office belgelerinden, ISO dosyalarından ve Windows kısayol (LNK) dosyalarından yararlanıyor; grup aynı zamanda güvenliği ihlal edilmiş ana bilgisayarlara kötü amaçlı yazılım dağıtmak için CHM dosyalarını da kullanıyor.

Siber güvenlik firması, geçmişte gözlemlenen benzer ticari uygulamaları gerekçe göstererek, orta düzeyde bir güvenle bu aktiviteyi Kimsuky'ye bağladı.

Siber güvenlik

Şirket, “Başlangıçta yardım dokümantasyonu için tasarlanmış olsa da, CHM dosyaları, açıldığında JavaScript çalıştırabildikleri için kötü amaçlı yazılım dağıtmak gibi kötü amaçlarla da kullanıldı.” dedi.

CHM dosyası bir ISO, VHD, ZIP veya RAR dosyası içinde yayılır; bu dosya, kalıcılığı ayarlamak ve toplama ve dışarı çıkarmadan sorumlu bir sonraki aşama yükünü getirmek için uzak bir sunucuya ulaşmak için bir Visual Basic Komut Dosyasını (VBScript) çalıştıran bir açılıştır. hassas veri.

Rapid7, saldırıların devam ettiğini ve gelişmekte olduğunu ve Güney Kore merkezli kuruluşları hedef aldığını belirtti. Ayrıca, bilgileri toplamakla görevli toplu dosyaları bırakmak için başlangıç ​​noktası olarak CHM dosyasını ve C2 sunucusuna bağlanmak ve verileri aktarmak için bir PowerShell komut dosyasını kullanan alternatif bir bulaşma dizisi de belirledi.

“Kod ve araçların çalışma şekli ve yeniden kullanımı, tehdit aktörünün kurbanlardan istihbarat toplamak için tekniklerini ve taktiklerini aktif olarak kullandığını ve iyileştirdiğini/yeniden şekillendirdiğini gösteriyor” dedi.

Bu gelişme, Broadcom'un sahibi olduğu Symantec'in, Kimsuky aktörlerinin meşru bir Kore kamu kurumunun bir uygulamasını taklit eden kötü amaçlı yazılım dağıttığını ortaya çıkarmasıyla ortaya çıktı.

Symantec, “Güvenliği aşıldığında, damlalık bir Endoor arka kapı kötü amaçlı yazılımını yükler” dedi. “Bu tehdit, saldırganların kurbandan hassas bilgiler toplamasına veya ek kötü amaçlı yazılım yüklemesine olanak tanıyor.”

Golang merkezli Endoor'un, Troll Stealer (diğer adıyla TrollAgent) ile birlikte yakın zamanda Kore inşaatla ilgili bir derneğin web sitesinden güvenlik programları indiren kullanıcıları hedef alan siber saldırılarla bağlantılı olarak konuşlandırıldığını belirtmekte fayda var.

Siber güvenlik

Bulgular aynı zamanda Birleşmiş Milletler tarafından Kuzey Kore ulus devlet aktörleri tarafından 2017 ile 2023 yılları arasında gerçekleştirilen ve nükleer silah programını daha da geliştirmesine yardımcı olmak için 3 milyar dolar yasadışı gelir elde eden 58 şüpheli siber saldırıya ilişkin başlatılan bir soruşturma sırasında da ortaya çıktı.

Raporda, “Genel Keşif Bürosu'na bağlı hack gruplarının gerçekleştirdiği yüksek hacimli siber saldırıların devam ettiği bildirildi” denildi. “Eğilimler arasında savunma şirketlerinin ve tedarik zincirlerinin hedef alınması ve giderek artan bir şekilde altyapı ve araçların paylaşılması yer alıyor.”

Genel Keşif Bürosu (RGB), Kuzey Kore'nin birincil yabancı istihbarat servisidir ve Lazarus Grubu ve onun alt unsurları Andariel ve BlueNoroff ile Kimsuky olarak geniş çapta takip edilen tehdit kümelerinden oluşur.

Raporda ayrıca, “Kimsuky, potansiyel olarak kimlik avı e-postalarını kodlamak veya yazmak için büyük dil modelleri de dahil olmak üzere üretken yapay zekayı kullanmaya ilgi gösterdi” ifadesine yer verildi. “Kimsuky, ChatGPT kullanılarak gözlemlendi.”

Bu makaleyi ilginç buldunuz mu? Bizi takip edin heyecan ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link