“Deep#Drive” olarak adlandırılan yakın tarihli bir siber saldırı kampanyası, Kuzey Kore İleri Durum Tehdit (APT) Grubu Kimuky’ye atfedildi.
Güney Koreli işletmeleri, devlet kuruluşlarını ve kripto para birimi kullanıcılarını hedefleyen operasyon, sistemlere sızmak ve hassas verileri söndürmek için dropbox ile barındırılan yükleri ve gizlenmiş PowerShell komut dosyalarını içeren gelişmiş teknikler kullanır.
Kötü amaçlı yazılım teslimi için güvenilir platformlardan yararlanmak
Saldırganlar, iş günlükleri ve sigorta formları gibi meşru belgeler olarak gizlenmiş kötü amaçlı kısayol dosyaları (.lnk) içeren kimlik avı e -postalarını kullandı.
Bu dosyalar, kullanıcıları kötü amaçlı kod yürütmeye kandırmak için dosya uzantılarını gizlemenin ortak bir Windows davranışını kullandı.
Açıldıktan sonra, .lnk dosyaları, güvenilir bir bulut depolama platformu olan Dropbox’tan ek yükler indiren PowerShell komut dosyalarını tetikledi.
Bu taktik, saldırganların faaliyetlerini normal kullanıcı davranışlarıyla harmanlayarak geleneksel güvenlik savunmalarını atlamalarına izin verdi.
Kampanyanın başarısının anahtarı, hem yük getirisi hem de veri açığa çıkması için Dropbox’a güvenmesidir.
Dropbox API etkileşimleri için OAuth token tabanlı kimlik doğrulamadan yararlanarak, saldırganlar, sistem yapılandırmaları ve çalışma işlemleri dahil olmak üzere, belirlenen klasörlere sorunsuz bir şekilde yüklenmiş keşif verilerini yükledi.
Altyapı dinamik ve kısa ömürlüdür, kritik damla kutusu bağlantıları tespitten kaçınmak ve analizi karmaşıklaştırmak için hızla devre dışı bırakılmıştır.
Çok aşamalı saldırı zinciri
Deep#Drive kampanyası, sofistike bir çok aşamalı saldırı zincirini izledi:
- İlk Erişim: Kimlik avı e -postaları, meşru belgeler olarak maskelenen .lnk dosyalarını dağıttı. Bu dosyalar, saldırıyı başlatmak için gizlenmiş PowerShell komut dosyalarını yürüttü.
- Yük dağıtım: Komut dosyaları Dropbox’tan sıkıştırılmış yükleri indirdi. Bu yükler dekomprese edildi ve algılamayı önlemek için doğrudan bellekte yürütüldü.
- Kalıcılık: Kötü amaçlı yazılımların devam etmesini sağlamak için planlanan görevler oluşturuldu. Bu görevler meşru sistem güncellemeleri olarak gizlendi.
- Keşif: Kötü amaçlı yazılım, IP adresleri, işletim sistemi detayları, antivirüs yazılımı ve çalışma işlemleri dahil ayrıntılı sistem bilgileri topladı.
- Püskürtme: Toplanan veriler, her kurban için benzersiz adlandırılan dosyalar altında Dropbox’a yüklendi.
Saldırganlar, antivirüs yazılımı ve günlük sistemleri tarafından tespitten kaçınmak için Base64 kodlama ve önemsiz kod ekleme gibi çeşitli gizleme teknikleri kullandı.
Derin#Drive’da gözlemlenen taktikler, teknikler ve prosedürler (TTP’ler) Kimuky’ye atfedilen önceki kampanyalarla yakından hizalanır.
Güney Kore’yi hedeflemekle bilinen Kimuky, kötü amaçlı yazılım dağıtımı ve veri açığa çıkması için Dropbox gibi güvenilir platformlardan yararlanma geçmişine sahiptir.
Securonix’e göre, Koreli dil kimlik avı yemlerinin kullanımı Güney Kore’nin birincil hedef olduğu değerlendirmesini daha da güçlendiriyor.
Kampanya, geleneksel güvenlik önlemlerini atlamak için güvenilir bulut hizmetlerinden yararlanan tehdit aktörlerinin artan eğilimini vurgulamaktadır.
Dropbox gibi platformları kullanarak saldırganlar ağ katmanı savunmalarından kaçabilir ve başarılı sızma olasılığını artırabilir.
Bu tür tehditleri azaltmak için kuruluşlara aşağıdakilere tavsiye edilir:
- Harici kaynaklardan istenmeyen dosyaları veya ekleri indirmekten kaçının.
- Ortak kötü amaçlı yazılım hazırlama dizinlerini, özellikle kullanıcıya özgü dizinleri izleyin
%AppData%. - PowerShell etkinliğini tespit etmek için sağlam uç nokta günlüğü özelliklerini uygulayın.
- Çalışanları kimlik avı girişimlerini ve şüpheli dosya davranışlarını tanıma konusunda eğitin.
Derin#Drive kampanyası, tehdit aktörleri güvenilir platformlardan yararlanmak ve tespitten kaçınmak için yöntemlerini geliştirmeye devam ettikçe siber güvenlik uygulamalarında uyanıklığın öneminin altını çiziyor.
Ücretsiz Web Semineri: Olay yanıtı ve tehdit avı için etkileşimli kötü amaçlı yazılım sanal alanına sahip daha iyi SOC – buraya kaydolun