Bir gelişmede, Kuzey Kore destekli hackleme grubu Kimuky, uzlaşmış sistemleri kontrol etmek için uzak masaüstü protokolünü (RDP) kullanmak için özel yapım araçlarının kullanımını yoğunlaştırmıştır.
Ahnlab Güvenlik İstihbarat Merkezi (ASEC), grubun, bu özelliğin başka türlü ulaşılamadığı makinelerde uzaktan masaüstü erişimini sağlamak için açık kaynaklı RDP ambalajının tescilli bir sürümünü geliştirdiğini bildiriyor.
Bu taktik, mızrak aktı saldırıları ve kötü amaçlı yazılım dağıtımını içeren daha geniş bir kampanyanın bir parçasıdır.
Kötü amaçlı yazılım teslimi
Kimuky’nin işlemleri, kötü niyetli kısayol dosyaları (*.lnk) içeren hedefli mızrak aktı e-postalarıyla başlar.
Bu dosyalar, genellikle PDF’ler veya Excel elektronik tabloları gibi formatları taklit eden meşru belgeler olarak gizlenir.
Yürütüldükten sonra, kısayollar, harici sunuculardan ek yükler indirmek için PowerShell veya MSHTA komutlarını tetikler.
Dağıtılan kötü amaçlı yazılımlar arasında iki temel araç var: Pebbledash, bir arka kapı ve özel yapım RDP sargısı.
Tespit edilmemiş Windows sürümlerinde uzaktan masaüstü özelliklerini etkinleştirmek için açık kaynaklı bir yardımcı program olan RDP sargısı, Kimuky tarafından algılamadan kaçınmak için değiştirilmiştir.
Grubun, dosya tabanlı antivirüs taramalarını atlamak için sargı içinde özel dışa aktarma işlevlerini kullandığı bildiriliyor.
Kurulduktan sonra, bu araç saldırganların kısıtlı ortamlarda bile enfekte sistemlerde RDP hizmetlerini etkinleştirmesine izin verir.
Ağ erişimi
Özel ağ konfigürasyonlarının ortaya koyduğu zorlukların üstesinden gelmek için Kimsuky, tehlikeye atılan makinelere harici erişimi kolaylaştıran proxy kötü amaçlı yazılım kullanır.
Bu araçlar, enfekte olmuş sistem ve harici ağlar arasında aracı olarak hareket ederek kesintisiz RDP bağlantılarını mümkün kılar.
Son araştırmalar, grup tarafından halka açık GO-dili revsock koduna dayanan üç tip proxy aracı tanımladı.
Uzaktan kumanda özelliklerine ek olarak, Kimuky diğer kötü amaçlı yazılımları operasyonlarına entegre eder.
KeyLoggers, PowerShell komut dosyaları veya yürütülebilir dosyalar aracılığıyla dağıtılır ve gizli dizinlerde kullanıcı tuş vuruşlarını kaydeder.
Ayrıca, bilgi çalan kötü amaçlı yazılım, web tarayıcılarında depolanan kimlik bilgilerini hedefler.
Güvenlik ölçümlerini atlamak için yakın zamanda tanımlanmış bir varyant, tarayıcı yapılandırma dosyalarından şifreleme anahtarları.
Kimuky’nin RDP’ye güvenmesi zamanla önemli ölçüde arttı.Giner önceki kampanyalarda, grup öncelikle sistem kontrolü için arka kapıları kullandı.
Bununla birlikte, son saldırılar, doğrudan uzaktan erişim için RDP sargısı ve proxy kötü amaçlı yazılım gibi araçlardan yararlanmaya doğru bir kayma göstermektedir.
Ahnlab Güvenlik İstihbarat Merkezi’ne (ASEC) göre, bu yaklaşım tespit risklerini en aza indirirken kalıcılığı korumalarına izin verir.
Grup ayrıca enfekte olmuş sistemler üzerindeki kontrollerini geliştirmek için ek teknikler kullanır.
Örneğin, Windows’un RDP hizmetini (terimsrv.dll) yamalamak için özel kötü amaçlı yazılım kullanırlar ve aktif kullanıcıları uyarmadan birden fazla eşzamanlı uzaktan oturumları etkinleştirirler.
Siber güvenlik uzmanları, bu tür saldırılarla ilişkili riskleri azaltmak için birkaç adım önermektedir:
- Bilinmeyen kaynaklardan e -posta eklerini açmaktan kaçının.
- İşletim sistemlerini ve yazılımlarını güvenlik açıklarını düzenlemek için düzenli olarak güncelleyin.
- Güçlü şifreler kullanın ve tüm hesaplar için çok faktörlü kimlik doğrulamayı (MFA) etkinleştirin.
- Kimuky tarafından kullanılanlar gibi gelişmiş tehditleri tespit edebilen uç nokta koruma çözümleri kullanın.
Kimuky’nin taktiklerinin sürekli evrimi, devlet destekli siber tehditlerin artan sofistike olmasının altını çiziyor.
Kuruluşlar, sağlam güvenlik önlemleri uygulayarak ve ortaya çıkan saldırı vektörlerinin farkındalığını koruyarak bu kalıcı düşmanlara karşı uyanık kalmalıdır.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free