Siber güvenlik araştırmacıları, Mart 2025’ten bu yana kötü amaçlı yazılım dağıtmak için Github’u kritik bir saldırı altyapısı olarak kullanan Kuzey Kore tehdit grubu Kimuky tarafından düzenlenen sofistike bir spearfishing kampanyası ortaya çıkardılar.
X’te yayınlanan kötü niyetli bir PowerShell betiğinin analizi ile tanımlanan bu işlem, açık kaynaklı Xenorat dahil kötü niyetli yükleri barındırmak ve yaymak için GitHub ve Dropbox gibi meşru platformların endişe verici bir kötüye kullanımını sergiliyor.
Sofistike Spearphishing Kampanyası
Saldırganlar, kötü amaçlı yazılımlarda depo kapsamı ile sabit kodlu Github kişisel erişim belirteçlerini (PAT’ler), kötü amaçlı yazılım, tuzak dosyaları ve söndürülmüş mağdur verilerini depolamak için komut ve kontrol (C&C) altyapısı olarak kullanılan özel depolara okuma ve yazma erişim sağladı.
.png
)
Saldırı, belirli Güney Kore hedeflerine göre uyarlanmış, genellikle hukuk firmaları veya finansal yetkililer gibi güvenilir varlıkları taklit eden spearfishing e -postalarıyla başlıyor.
Bu e-postalar, GitHub depolarından veya Dropbox URL’lerinden yükleri indiren PowerShell komut dosyalarını yürütmek üzere tasarlanmış kötü niyetli eklere sahip şifre korumalı arşivler içerir.
Ayrıntılı Saldırı Akışı
“DASI274” ve “LuckMmask” saldırgan hesaplarıyla ilişkili “Hole_311” ve “Star” gibi depolar, tuzak belgeleri, infostealer komut dosyaları (örneğin, onf.txt) ve indirici komut dosyaları (örneğin, OFX.TXT) ile, kurbanların her 30 dakikada bir çizelgeye her 30 dakikada bir yüklemesini ortaya çıkardı.
Rapora göre, bu depoların analizi test için kullanılan IP adreslerini açıkladı (örn. 80.71.157[.]55, Kimuky’ye bağlı UAT-5394 tarafından 2024 Moonpeak kampanyasına bağlı) ve 158.247.202 gibi C&C sunucuları[.]109, “Milyon Tamam !!!!” ı gösteren bir Naver Kimlik avı sitesine ev sahipliği yapıyor – KİSKİK Operasyonlarının Ayrıntısı.
Kissuky’ye daha fazla atıf, Xenorat numunelerinde (örneğin, 12de1212-167D-45BA-1284-780DA98CF901), kötü amaçlı yazılım varyantları arasında özdeş dize şifreleme yöntemlerinden ve bu dpr-nexus grubunun tipik “PE.KR” gibi alan adlandırma kurallarından kaynaklanır.
Kötü amaçlı yazılım, yürütüldükten sonra, GitHub’a sistem keşif, anahtarlog ve veri açığa çıkma gerçekleştirerek, platformun geleneksel güvenlik önlemlerini atlamak için güvenini ve erişilebilirliğini kullanır.
Bu kampanyanın karmaşıklığı, hedeflenen yaklaşımında yatmakta ve borç geri ödeme bildirimlerinden kurbanları kötü amaçlı kod yürütmeye sokan kripto para tohumu ifadelerine kadar her bir kurban için ayrı depolar oluşturur.
Ek Dropbox URL’leri (yaklaşık 10 tanımlanmıştır), analiz edilen vakaların ötesinde daha geniş, devam eden bir operasyonu gösterir ve Kimuky’nin siber taktiklerde kalıcı evrimini vurgular.
Gizli .NET yürütülebilir ürünlerin kullanılması, Xenorat’ta devlet makine gizlemesi ve kaynak bölümlerinden dinamik dize yüklemesi algılamayı daha da karmaşıklaştırır.
Kullanıcıların, şifre korumalı arşivlerle sınırlamalara rağmen, şüpheli e-posta eklerini yürütmek, gönderenin özgünlüğünü doğrulamak ve dosyaları Virustotal gibi araçlarla taramaları istenir.
Bu olay, kötü amaçlar için meşru platformlardan yararlanan gelişmiş kalıcı tehditlere karşı koymak için artan uyanıklık ve sağlam güvenlik önlemleri ihtiyacının altını çizmektedir.
Uzlaşma Göstergeleri (IOCS)
| Tip | Değer |
|---|---|
| C&C IP | 80.71.157[.]55, 158.247.253[.]215, 165.154.78[.]9 |
| Muteks | Dansweit_hk65, cheetah_0716 |
| E -posta | [email protected] |
| .NET Guid | 12DE1212-167D-45BA-1284-780DA98CF901 |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin