Kuzey Kore’nin Kimsuky gelişmiş kalıcı tehdidi (APT), en son saldırılarında yasal uzak masaüstü araçları ve yeni özel kötü amaçlı yazılımların kullanımıyla kurbanların sistemlerini kontrol etme yeteneğini genişleterek saldırı yöntemlerini geliştirmeye ve karmaşıklığını artırmaya devam ediyor.
Kuzey Kore Dini Lideri Kim Jong-Un’un emriyle çalışan birkaç tehdit grubundan biri olan tehdit grubunun, yakın zamanda Uzak Masaüstü Protokolü’nü (RDP) ve hedeflenen sistemleri uzaktan ele geçirmesine, hatta açık kaynak yüklemesine olanak tanıyan diğer araçları kötüye kullandığı tespit edildi. Güney Kore’deki AhnLab’dan araştırmacılar, 18 Ekim tarihli bir blog yazısında, RDP’nin mevcut olmadığı durumlarda yazılımın bir ortama aktarılabileceğini ortaya çıkardı.
AhnLab Güvenlik Yanıt Merkezi’nin gönderisine göre, “Kimsuky tehdit grubu, virüslü sistemler üzerinde kontrol elde etmek ve bilgi sızdırmak için RDP’yi sürekli olarak kötüye kullanıyor.” “RDP ayrıca kaba kuvvet ve sözlük saldırıları kullanılarak ilk erişim sürecinde veya yanal hareket sırasında da kullanılabilir.”
Araştırmacılara göre, 2013’ten bu yana Jong-Un rejimi adına siber casusluk yapmakta aktif olan Kimsuky, aynı zamanda son saldırılarda ele geçirilen masaüstü sistemlerin uzaktan kontrolünü ele geçirmek için bu protokolün ötesinde taktikler de geliştiriyor.
Grup, RDP’nin kötüye kullanılmasına ek olarak, diğer bilgisayarların uzaktan kontrolü için bir ekran paylaşım sistemi olması bakımından RDP’ye benzeyen açık kaynaklı sanal ağ bilgi işlem (VNC) aracı TightVNC’yi de kullanıyor. Araştırmacılar, bazı durumlarda grubun, virüslü sistemleri kontrol etmek için Google Chrome tarayıcısı tarafından desteklenen Chrome Uzaktan Masaüstü’nü bile kullandığını söyledi.
Kötü Amaçlı Yazılım Karması
Genel olarak, son saldırılar, Kimsuky’nin, saldırganlar diğer özel oluşturulmuş ve açık kurulumlara geçmeden önce kalıcılık ve sistem bilgilerinin toplanması için sıklıkla kullanılan özel kötü amaçlı yazılım olan BabyShark ile tehlikeye atılmış sistemlere erişim için ilk yöntem olarak hedef odaklı kimlik avını kullanmaya devam ettiğini gösteriyor. kaynak kötü amaçlı yazılım.
Grup ayrıca, kurbanın sistemine kullanıcı hesapları eklemek için komuta ve kontrol (C2) sunucusundan komutlar göndermek için RevClient’ı ve bir bankacılık Truva Atı olan kamuya açık kötü amaçlı yazılım TinyNuke’yi kullanarak, güvenlik ihlali sonrası yeni kötü amaçlı yazılımları cephaneliğine ekledi.
Tipik olduğu gibi, sistemlerin kontrolünü ele geçirdikten sonraki nihai amaç, Güney Kore’deki tipik olarak araştırma, savunma, diplomatik ve akademik sektörlerin yanı sıra siyasi veya stratejik çıkarı olan diğer ülkelerdeki hedeflerden dahili bilgi ve teknolojiyi çalmaktır. Rejim.
Çoklu Oturum RDP
Kimsuky’nin yakın zamanda kullandığı görülen yeni RDP işlevselliğinin özellikle ilginç bir kısmı, bir Windows sisteminde birden fazla RDP oturumunu destekleme yeteneğidir; bu, Windows masaüstü işletim sisteminin doğal olarak izin vermediği bir şeydir.
Gönderiye göre “Normalde Windows masaüstü ortamlarında, sunucuların aksine, RDP aracılığıyla bağlanırken yalnızca bir oturum desteklenir.” “Bir sistem için tek oturum desteklendiğinden, kullanıcı hesapları farklı olsa bile tehdit aktörü bir sisteme uzaktan bağlandığında mevcut kullanıcının oturumu sonlandırılır.”
Önceki saldırılarda Kimsuky, tek oturum sınırını aşmak amacıyla şu anda çalışan RDP hizmet sürecinin belleğine yama uygulamak için Mimikatz ve diğer kötü amaçlı yazılımları kullanmıştı. Ancak son saldırılarda grup artık birden fazla oturumlu RDP’yi desteklemek ve daha fazla kontrol için kullanıcı hesapları eklemek için “multiple.exe” adlı kötü amaçlı yazılımı kullanıyor.
Araştırmacılara göre grubun son saldırılarda kullandığı yeni kötü amaçlı yazılım RevClient da “multiple.exe”ye benzer özelliklere sahip ancak çoklu oturum özelliğini farklı bir şekilde yürütüyor. Kimsuky ayrıca, güvenliği ihlal edilmiş bir sistemin genel kontrolünün bir parçası olarak kullanıcı hesabıyla ilgili görevleri gerçekleştirmek üzere C2’den komutlar almak için RevClient’tan yararlanıyor.
RDP Kötüye Kullanımına Karşı Savunma
AhnLab’a göre, Kimsuky ile Lazarus gibi Kuzey Kore’nin sponsor olduğu diğer gruplar arasındaki çizgiler bulanıklaşmaya başlarken, örgütlenip araç ve taktik paylaşımında bulunmak için organizasyonların kendilerini bu gelişen tehditlere karşı korumak için ellerinden geleni yapması önemli.
RDP özellikle hassas bir saldırı yüzeyidir çünkü Windows sistemlerine önceden yüklenmiş olarak gelen hizmetlerden biridir ve bu tür güvenlik ihlali olaylarını tespit etmek veya önlemek için yeterli yönetim gerektirir.
Araştırmacılar, bunu yapmak için kullanıcıların şüpheli e-postalardaki veya harici yazılım yüklerken ekleri açmaktan kaçınmaları ve bunun yerine bunları yalnızca resmi web sitelerinden satın almaları veya indirmeleri gerektiğini belirtti. Masaüstü kullanıcıları ayrıca hesapları için karmaşık parolalar belirlemeli ve kaba kuvvete maruz kalma olasılığını azaltmak için bunları düzenli aralıklarla değiştirmelidir.
Windows işletim sisteminin en yeni ve en güvenli sürümlerine güncelleme yapmak ve uç nokta güvenlik ürünlerinin yanı sıra korumalı alan tabanlı APT çözümlerini kullanmak da sistemlerin siber saldırılara karşı korunmasına yardımcı olabilir.