Kuzey Koreli bir APT grubu olan Kimsuky, sosyal mühendisliği gizlemek, üniversite ağlarına sızmak ve Keşif Genel Bürosu için araştırma çalmak amacıyla DMARC istismarından yararlanarak hedefli kimlik avı kampanyaları yürütüyor.
Bu durum, Kuzey Kore’nin geçmişte nükleer, sağlık ve ilaç araştırmalarını çalma eylemlerinin bir yansıması olarak, bilimsel yeteneklerini geliştirmek için istihbarat edinme hedefiyle örtüşüyor.
Kimsuky’nin OPSEC başarısızlıklarının yakın zamanda ortaya çıkması, operasyonları hakkında kritik bilgiler sağlıyor ve bu siber casusluk grubunun oluşturduğu devam eden tehdidi güçlendiriyor.
Kimsuky, audko da dahil olmak üzere tehlikeye atılmış internet sunucularından yararlanıyor [store]doray [site]ve diğerleri, Indrajith Mini Shell 2.0’dan türetilen “Green Dinosaur” adlı oldukça karmaşık bir web kabuğunu bu tehlikeye atılmış sistemlere yerleştirerek saldırılar düzenlemek için zemin hazırlamak amacıyla kullanıldı.
Gereksiz kaçınma işlevlerinden arındırılmış bu webshell, uzak operatörlerin dosyaları yüklemesine, indirmesine, yeniden adlandırmasına ve silmesine olanak tanıyarak, kimlik avı web sitelerinin oluşturulmasını kolaylaştırıyor.
Kimsuky, özellikle Dongduk, Kore ve Yonsei üniversitelerini hedef alan, meşru üniversite giriş portallarını taklit eden kimlik avı sayfaları hazırladı. Bu sayfalar, kimlik bilgilerini ele geçirmek, standart şifrelemeyi atlatmak ve kurbanları Google Drive’da barındırılan sahte bir PDF’ye yönlendirmek için değiştirildi.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Access
Asan Politika Çalışmaları Enstitüsü Ağustos Forumu’na davet kisvesi altında sunulan PDF’in, mağdur güvenini artırmak için bir sosyal mühendislik taktiği olduğu düşünülüyor.
Kimlik bilgisi hırsızlığı, kullanıcı adı, parola ve oturum açma girişimlerini bir sunucu dosyasına kaydeden bir PHP betiği aracılığıyla gerçekleşir.
Kore ve Yonsei üniversiteleri için giriş bilgilerini çalmak için değiştirilmiş Javascript kodunu kullanır. Saldırı, gerçek üniversite portallarına benzeyen meşru giriş sayfalarına kötü amaçlı kod enjekte eder.
Kore Üniversitesi’nin saldırısı kullanıcı girdisini yakalamak için Javascript’i değiştirirken, Yonsei Üniversitesi’nin saldırısı aynı sonucu elde etmek için HTML’i değiştiriyor.
Her iki hedef de çalınan kimlik bilgilerini almak için login.php’yi kullanıyor ancak en sonunda, yerleşik üniversite portallarına olan güveni kullanarak kurbanları oturum açma bilgilerini vermeleri için kandırarak anında şüphe uyandırmamak adına gerçek oturum açma sayfalarına yönlendiriyor.
Kimsuky, Evilginx’e benzer şekilde ilkel bir proxy işlevi gören ve şüphesiz kurbanlardan çerezleri ve kimlik bilgilerini ele geçirmek için tasarlanmış, Naver hesaplarını hedef alan genel bir kimlik avı araç takımı kullanıyor.
Bir kez tehlikeye atıldığında, kullanıcılara sunucu iletişim hatalarını taklit eden aldatıcı açılır pencereler sunulur ve oturum açma bilgilerini yeniden girmeleri istenir. “Tamam”a tıkladıklarında, kurbanlar kimlik bilgilerinin çalındığı sahte bir Naver oturum açma sayfasına yönlendirilir.
GreenDinosaur’da barındırılan “SendMail” adlı özel bir PHPMailer uygulamasından yararlanarak kimlik avı e-postaları dağıtan saldırgan, bir Seul Ulusal Üniversitesi profesörünün e-posta hesabını ele geçirerek Dooray CRM için Güney Koreli bir SMTP sunucusuna erişti.
Resilience’a göre, aynı kimlik bilgilerini ve kurtarma e-postalarını paylaşan bu hesaplar, aralarında Dongduk, Kore ve Yonsei Üniversiteleri’ndeki çalışanların da bulunduğu kişileri hedef almak için kullanıldı.
Saldırganlar, ele geçirilen Gmail ve Daum hesaplarını kullanarak Naver temalı kimlik avı e-postaları dağıtmak için bir SendMail sunucusunu yapılandırdı.
Naver hesabının silinmesi veya e-posta kısıtlaması gibi iddialarda bulunan kötü amaçlı e-postalar, kurbanları birden fazla kimlik avı web sitesine yönlendiriyor.
Download Free Cybersecurity Planning Checklist for SME Leaders (PDF) – Free Download