Securonix’teki güvenlik araştırmacıları tarafından, Kuzey Koreli bir bilgisayar korsanlığı grubu olan APT37’nin grupla ilişkili yeni bir kampanya başlattığı keşfedildi. Bu grup, aşağıdaki ülkelerde bulunan yüksek değerli kuruluşları hedeflemektedir:-
- Avrupa ülkeleri
- Çek Cumhuriyeti
- Polonya
Bilgisayar korsanları, bu kampanyada yasadışı bir araç olarak kullanılabilecek bir RAT olan Konni olarak bilinen kötü amaçlı yazılım kullanıyor. Bu RAT, ana bilgisayarda kalıcı dinleme kurma yeteneğine ek olarak, ana bilgisayardaki ayrıcalıkları da yükseltebilir.
2014 yılında, Kuzey Kore siber saldırıları, o zamandan beri onlarla bağlantılı olan Konni’ye atfedildi. En sonuncusu da dahil olmak üzere, Rusya Dışişleri Bakanlığı’nı hedef alan birkaç hedefli kimlik avı kampanyası vardı.
Kampanya ve Enfeksiyon zinciri
STIFF#BIZON, zincirdeki en yeni ve aktif kampanyaya verilen isimdir. Bu kampanya, Gelişmiş Kalıcı Tehdit grubu tarafından kullanılanlara benzer taktikler ve yöntemler kullanır.
Saldırılar, aşağıdaki dosyaları içeren bir arşiv eki içeren kimlik avı e-postaları tarafından gerçekleştirilir:-
- Bir Word belgesi (füze.docx)
- Bir Windows Kısayol dosyası (_weapons.doc.lnk.lnk)
LNK dosyasını açtıktan sonra, bu komut dosyası tarafından oluşturulan DOCX dosyasının içinde bir base64 kodlu PowerShell komut dosyası bulunur.
Sonuç olarak, her iki sunucu arasında C2 iletişimi kurmak için iki ek dosya indirilecek ve bunlar aşağıda listelenmiştir:-
Şimdi bu noktada indirdiğiniz belge, Rus savaş muhabiri Olga Bozheva’nın haberiymiş gibi yapılmış bir tuzak. İşlem devam ederken, sunucuda zamanlanmış bir görev oluşturmak için VBS dosyası tarafından arka planda sessiz bir işlem gerçekleştirilir.
Tehdit aktörü RAT’ı ana bilgisayara yüklediğinde, tehdit aktörü ile RAT arasında bir veri alışverişi bağlantısı kurulur. Ayrıca, aşağıdaki yasa dışı faaliyetleri gerçekleştirme kabiliyetine sahiptir:-
- Win32 GDI API’sini kullanarak ekran görüntülerini yakalayabilir ve ardından bunları GZIP dosyaları biçiminde çıkarabilir.
- Çerezlerin şifrelenmesinin atlanması için durum anahtarları Yerel Durum dosyasında saklanır ve çerez veritabanının şifresinin çözülmesi için çıkarılabilir.
- Kurbanın web tarayıcısını kullanarak kayıtlı kimlik bilgilerini çıkarın.
- Her 10 saniyede bir, komutları uzaktan yürütmek için kullanılabilecek etkileşimli bir kabuk başlatma yeteneğine sahiptir.
APT28 ile bağlantı!
Kullanılan taktikler ve araç seti nedeniyle APT37, STIFF#BIZON için en uygun aday gibi görünüyor, ancak Securonix uzmanları, APT28’in (diğer adıyla FancyBear) de dahil olabileceğini kabul ediyor.
Devlet destekli APT grupları, izlerini gizlemek ve tehdit analistlerini yanlış yönlendirmek için genellikle diğer yetkin ve sofistike APT gruplarının taktiklerini ve taktiklerini kopyalar.
Böyle bir durumda, yanlış yükleme olasılığı yüksektir, dolayısıyla önemli bir risk söz konusudur.
Bizi Linkedin’den takip edebilirsiniz, heyecanGünlük Siber Güvenlik güncellemeleri için Facebook.