Kuzey Kore bağlantılı tehdit aktörü Kimsuky’nin, istihbarat toplama amacıyla üniversite personelini, araştırmacıları ve profesörleri hedef alan yeni bir dizi saldırıyla ilişkilendirildiği bildirildi.
Siber güvenlik firması Resilience, saldırganların yaptığı bir operasyon güvenliği (OPSEC) hatasını gözlemledikten sonra faaliyeti 2024 yılının temmuz ayı sonlarında tespit ettiğini söyledi.
APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail ve Velvet Chollima isimleriyle de bilinen Kimsuky, Kuzey Kore hükümeti ve ordusunun yönetimi altında faaliyet gösteren çok sayıda saldırgan siber ekipten sadece biri.
Ayrıca oldukça aktiftir ve sıklıkla, keşif yapmak, veri çalmak ve enfekte olmuş ana bilgisayarlara kalıcı uzaktan erişim sağlamak için sürekli genişleyen bir özel araç seti sunmak amacıyla başlangıç noktası olarak hedefli kimlik avı kampanyalarından yararlanır.
Saldırılar ayrıca, Green Dinosaur web kabuğunun gizlenmiş bir sürümünü dağıtmak için aşama altyapısı olarak tehlikeye atılmış ana bilgisayarların kullanılmasıyla da karakterize edilir ve daha sonra dosya işlemlerini gerçekleştirmek için kullanılır. Kimuksy’nin web kabuğunu kullanımı daha önce güvenlik araştırmacısı blackorbird tarafından Mayıs 2024’te vurgulanmıştı.
Green Dinosaur’un sağladığı erişim, daha sonra Naver ve Dongduk Üniversitesi, Kore Üniversitesi ve Yonsei Üniversitesi gibi çeşitli üniversitelerin meşru giriş portallarını taklit etmek üzere tasarlanmış önceden oluşturulmuş kimlik avı sayfalarını yüklemek için kötüye kullanılıyor ve amaç bu üniversitelerin kimlik bilgilerini ele geçirmek.
Daha sonra mağdurlar, Google Drive’da barındırılan ve Asan Politika Çalışmaları Enstitüsü Ağustos Forumu’na davet gibi görünen bir PDF belgesine yönlendiren başka bir siteye yönlendiriliyor.
Resilience araştırmacıları, “Ayrıca Kimsuky’nin kimlik avı sitelerinde, Naver hesaplarını toplamak için hedef odaklı olmayan bir kimlik avı araç seti bulunuyor” dedi.
“Bu araç seti, ziyaretçilerden çerezleri ve kimlik bilgilerini çalmak için Evilginx’e benzer ilkel bir proxy’dir ve kullanıcılara sunucuyla iletişimin kesildiği için tekrar oturum açmaları gerektiğini söyleyen açılır pencereler gösterir.”
Analiz ayrıca Kimsuky’nin, Gmail ve Daum Mail hesaplarını kullanan hedeflere kimlik avı e-postaları göndermek için kullandığı SendMail adlı özel bir PHPMailer aracına da ışık tuttu.
Tehditlerle mücadele etmek için kullanıcıların kimlik avına dayanıklı çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmeleri ve oturum açmadan önce URL’leri incelemeleri önerilir.