Kuzey Kore ile bağları olan tehdit aktörleri, NIM programlama dilinde yazılmış kötü amaçlı yazılımlarla Web3’ü ve kripto para birimi ile ilgili işletmeleri hedefleyen ve taktiklerinin sürekli evriminin altını çizen gözlemlenmiştir.
Sentinelone araştırmacıları Phil Stokes ve Raffaele Sabato, hacker News ile paylaşılan bir raporda, “MacOS kötü amaçlı yazılımlar için, tehdit aktörleri Wsocket protokolünün TLS şifreli versiyonu olan WSS aracılığıyla bir süreç enjeksiyon tekniği ve uzaktan iletişim kullanıyor.” Dedi.
“Yeni bir kalıcılık mekanizması, kötü amaçlı yazılım sonlandırıldığında veya sistem yeniden başlatıldığında kalıcılığı yüklemek için Sigint/Sigterm sinyal işleyicilerinden yararlanır.”
Siber güvenlik şirketi, kötü amaçlı yazılım bileşenlerini toplu olarak Nimdoor adı altında izliyor. Kampanyanın bazı yönlerinin daha önce Huntabil.it ve daha sonra Huntress and Validin tarafından belgelendiğini, ancak dağıtılan yüklerde farklılıklar olduğunu belirtmek gerekir.
Saldırı zincirleri, bir randevu planlama yazılımı olan Calendly aracılığıyla bir zoom toplantısı planlamak için telgraf gibi mesajlaşma platformlarında hedeflere yaklaşan sosyal mühendislik taktiklerini içeriyor. Hedef daha sonra, video konferans yazılımının en son sürümünü çalıştırdıklarından emin olmak için bir Zoom SDK güncelleme komut dosyası çalıştırmak için talimatlarla birlikte sözde bir Zoom toplantı bağlantısı içeren bir e -posta gönderilir.
Bu adım, kullanıcıyı meşru bir zoom yönlendirme bağlantısına yönlendirirken, uzak bir sunucudan ikinci aşamalı bir komut dosyası için bir dağıtım aracı olarak hareket eden bir Applescript’in yürütülmesine neden olur. Yeni indirilen komut dosyası daha sonra, kalıcılığı ayarlamaktan ve Bash komut dosyalarını çalan bilgileri başlatmaktan sorumlu ikili dosyaları içeren zip arşivlerini açar.
Enfeksiyon dizisinin kalbinde, Target ve Trojan1_arm64 adlı iki gömülü ikili dosyayı şifreleyen enjektewithDYDarm64 (diğer adıyla enjekte withdyld) adı verilen bir C ++ yükleyici vardır. EnjektewithDyLARM64, Hedef’i askıya alınmış bir durumda başlatır ve ona Trojan1_arm64’ün ikili kodunu enjekte eder, ardından askıya alınan işlemin yürütülmesi yeniden başlatılır.
Kötü amaçlı yazılım, uzak bir sunucu ile iletişim kurmaya ve sistem bilgilerini toplamasına, keyfi komutları çalıştırmasına ve geçerli çalışma dizini değiştirmesine veya ayarlamasına izin veren komutlar getirmeye devam eder. Yürütmenin sonuçları sunucuya geri gönderilir.
Trojan1_arm64, ARC, BRAVE, Google Chrome, Microsoft Edge ve Mozilla Firefox gibi web tarayıcılarından kimlik bilgilerini hasat etme yetenekleri ile birlikte gelen iki yük daha indirebilir.
Saldırıların bir parçası olarak da düştüğünde, kullanıcının kötü amaçlı yazılım sürecini öldürmeye çalışmaları için izleyen ve kalıcılığı sağlayan NIM tabanlı yürütülebilir ürün koleksiyonudur.
Araştırmacılar, “Bu davranış, kötü amaçlı yazılımların kullanıcı tarafından başlatılmasının feshedilmesinin, temel bileşenlerin dağıtılmasıyla sonuçlanmasını ve kodu temel savunma eylemlerine dayanıklı hale getirmesini sağlar.” Dedi.
Kötü amaçlı yazılım ayrıca, her 30 saniyede bir sabit kodlu komut ve kontrol (C2) sunucularından birine işaret eden bir Applescript başlatırken, aynı zamanda çalışan işlemler listesinin bir anlık görüntüsünü de ortaya çıkarır ve sunucu tarafından gönderilen ek komut dosyalarını yürütür.
Bulgular, Kuzey Kore tehdidi aktörlerinin MacOS sistemleri üzerindeki manzaralarını nasıl eğittiğini, elma toplama hedeflerini karşılamak için bir sömürü sonrası arka kapı olarak hareket etmek için silahlandırmayı nasıl eğittiğini gösteriyor.
Araştırmacılar, “Kuzey Koreli hizalanmış tehdit aktörleri daha önce Go ve Rust’u denedi, benzer şekilde senaryoları birleştirdi ve ikili dosyaları çok aşamalı saldırı zincirlerine dönüştürdüler.” Dedi.
“Bununla birlikte, NIM’in derleme süresi sırasında işlevleri yürütme yeteneği, saldırganların karmaşık davranışı daha az belirgin kontrol akışı ile bir ikili olarak harmanlamasına izin verir, bu da geliştirici kodunun ve NIM çalışma zamanı kodunun işlev düzeyinde bile iç içe geçtiği derlenmiş ikili dosyalara neden olur.”
Kimuky’nin ClickFix kullanımı devam ediyor
Açıklama, Güney Koreli siber güvenlik şirketi türlerinin, Kimusky’nin Kuzey Kore hackleme grubuna atfedilen bilinen bir faaliyet kümesi olan Babyshark olarak adlandırılan bir kampanyanın bir parçası olarak çeşitli uzaktan erişim araçlarını sunmak için ClickFix Sosyal Mühendislik taktikini kullanmaya devam etmesi olarak geliyor.
İlk olarak Ocak 2025’te gözlemlenen ve Güney Kore’deki ulusal güvenlik uzmanlarını hedefleyen saldırılar, meşru bir Almanca iş gazetesi için röportaj talepleri olarak maskelenen mızrak aktı e-postalarının kullanılmasını ve onları sahte bir arşiv içeren kötü niyetli bir bağlantı açmaya yönlendiriyor.
Arşiv içinde, kullanıcının web tarayıcısında bir tuzak Google Dokümanları dosyasını açmak için tasarlanmış bir Visual Basic Script (VBS) dosyası bulunurken, arka planda, planlanan görevler ve hasat sistemi bilgileri aracılığıyla ana bilgisayar üzerinde kalıcılık oluşturmak için kötü amaçlı kod yürütülür.
Mart 2025’te gözlemlenen sonraki saldırılar, üst düzey bir ABD ulusal güvenlik görevlisini, yetkilinin Güney Kore’ye yaptığı ziyaret sırasında bir toplantı ile ilgili soruların bir listesini içeren bir PDF eki açma hedeflerini kandırmak için taklit etti.
“Ayrıca, hedefi bir kılavuz açmaya ve güvenli bir belgeye erişmesi gereken bir kimlik doğrulama kodu girmeye çalıştılar.” Dedi. “Orijinal ‘ClickFix’ taktiği kullanıcıları belirli bir hatayı düzeltmek için tıklamaya kandırırken, bu varyant, kullanıcıları güvenli bir belgeye erişmek için bir kimlik doğrulama kodunu kopyalayıp yapıştırmalarını isteyerek yaklaşımı değiştirdi.”
Sıkışmış kötü niyetli PowerShell komutu yürütüldükten sonra, veri toplamak ve ek yükler sunmak için bir C2 sunucusuyla kalıcı iletişim kuran kötü amaçlı kodun yürütülmesini gizlemek için bir tuzak Google Doküman dosyası kullanılır.
ClickFix stratejisinin ikinci bir varyantı, meşru bir savunma araştırma iş portalını taklit eden ve sahte listelerle doldurmayı ve Windows Run iletişim kutusunu açmak ve bir PowerShell komutunu çalıştırmak için bir ClickFix tarzı açılır mesajla sunulmasına neden olan site ziyaretçilerinin neden olmasına neden olur.
Kendi adına, yönlendirilmiş kullanıcılar, Chrome uzak masaüstü yazılımını sistemlerine indirmeleri ve yüklemeleri için C2 sunucusu “kid.plusdocs.kro[.]Kr.
C2 sunucusu, Çin’den bir IP adresi, çok aşamalı bir saldırı zinciri aracılığıyla enfekte Windows ana bilgisayarına BabyShark kötü amaçlı yazılımlarını bırakmak için kullanılan bir fermuar arşivi barındıran bir Proton Drive bağlantısı için bir anahtar kaydı içeriyordu.
Geçen ay olduğu gibi, Kimuky’nin, tehdit aktörlerinin PowerShell komutlarını kullanıcı bilgilerini sifon için bir otoit komut dosyası başlatan Windows Run iletişim kutusuna kopyalayıp yapıştırmak için sahte naver captcha doğrulama sayfalarını dağıttığı başka bir ClickFix varyantını oluşturduğuna inanılıyor.
Şirket, “‘BabyShark’ kampanyası, yeni saldırı tekniklerini hızlı bir şekilde benimsemesi ile bilinir ve bunları genellikle senaryo tabanlı mekanizmalarla entegre eder.” Dedi. “Bu raporda tartışılan ‘ClickFix’ taktiği, kötü niyetli kullanım için uyarlanan başka bir kamuya açık yöntem örneği gibi görünüyor.”
Son haftalarda, Kimsuky de akademik kurumlardan gelen, ancak kötü amaçlı yazılımları bir araştırma makalesini gözden geçirme bahanesi altında dağıtan e -posta kimlik avı kampanyalarına da bağlanmıştır.
Ahnlab, “E -posta, alıcıyı kötü amaçlı OLE nesnesi ekine sahip bir HWP belge dosyası açmaya teşvik etti.” Dedi. “Belge şifre korumuştu ve alıcı, belgeyi görüntülemek için e-posta gövdesinde sağlanan şifreyi girmek zorunda kaldı.”
Silahlı belgenin açılması enfeksiyon sürecini etkinleştirerek, kapsamlı sistem keşifleri gerçekleştiren bir PowerShell komut dosyasının yürütülmesine ve kalıcı uzaktan erişim için meşru Anydesk yazılımının konuşlandırılmasına yol açar.
Kimuky’nin üretken tehdit aktörü, grup, kötü amaçlı yazılım sunumu için araçları, taktikleri ve teknikleri ile ilgili sürekli bir akış halindedir, bazı siber saldırılar da Github’ı Xeno Rat adı verilen açık kaynaklı bir Truva’yı yaymak için bir Stager olarak kullanır.
Enki Whitehat, “Kötü amaçlı yazılım, saldırganın özel depolarına sabit kodlu bir GitHub kişisel erişim belirteci (PAT) kullanarak erişiyor.” Dedi. “Bu jeton, özel bir depodan kötü amaçlı yazılım indirmek ve kurban sistemlerinden toplanan bilgileri yüklemek için kullanıldı.”
Güney Kore siber güvenlik satıcısına göre, saldırılar bir Windows kısayolu (LNK) dosyası içeren sıkıştırılmış arşiv eklerine sahip mızrak aktı e-postaları ile başlar, bu da daha sonra Decoy belgesini indirip başlatan bir PowerShell komut dosyasını bırakmak için kullanılır.
Diğer saldırı dizilerinin, Dropbox’tan RTF uzantısı olan bir dosya getiren PowerShell tabanlı bir indirici kullandığı bulunmuştur. Kampanya, altyapı paylaşıyor, Moonpeak olarak bilinen bir Xeno faresi varyantı sunan başka bir saldırı seti ile örtüşüyor.
Enki, “Saldırgan yalnızca saldırılarda kullanılan kötü amaçlı yazılımları değil, aynı zamanda GitHub Kişisel Erişim Jetonları (PAT’ler) kullanılarak özel depolarda enfekte olmuş sistem günlük dosyalarını ve söndürülmüş bilgileri yükledi ve sürdürdü.” “Bu devam eden etkinlik, Kimuky’nin operasyonlarının, hem GitHub hem de Dropbox’ı altyapılarının bir parçası olarak kullanmaları da dahil olmak üzere kalıcı ve gelişen doğasını vurgulamaktadır.”
Kimuky, NSFOCUS’tan elde edilen veriler başına, Kore’den en aktif tehdit gruplarından biri olmuştur ve Mayıs 2025’te Çin siber güvenlik şirketi tarafından kaydedilen 44 İleri Kalıcı Tehdit (APT) faaliyetlerinin% 5’ini oluşturmaktadır. Karşılaştırıldığında, Nisan ayında en aktif üç Apt grubu Kimsuky, Sidewinder ve Koni idi.