Kuzey Koreli Hackerlar E-posta Saldırılarında Yeni ‘HappyDoor’ Kötü Amaçlı Yazılımını Kullanıyor


Kuzey Koreli Hackerlar E-posta Saldırılarında Yeni 'HappyDoor' Kötü Amaçlı Yazılımını Kullanıyor

Bilgisayar korsanları, çok sayıda kullanıcıyı daha hızlı ve çok düşük maliyetle kolayca hedefleyebildikleri için e-posta saldırılarını tercih ediyor.

E-postalar meşru görünecek şekilde hazırlanabilir; bu da tehdit aktörlerinin alıcıları kötü amaçlı bağlantılara tıklamaları, virüslü ekleri indirmeleri ve hatta hassas bilgileri ifşa etmeleri konusunda kandırmalarını kolaylaştırır.

ASEC’teki siber güvenlik araştırmacıları yakın zamanda Kuzey Koreli bilgisayar korsanlarının e-posta saldırılarında kullanılan yeni “HappyDoor” kötü amaçlı yazılımını aktif olarak kullandığını keşfetti.

Kuzey Kore ‘HappyDoor’ Kötü Amaçlı Yazılımı

HappyDoor, Kimsuky grubu tarafından kullanılan, ilk kez 2021’de görülen ve 2024’e kadar faaliyette olan, az bilinen bir kötü amaçlı yazılım parçasıdır.

Son sürümlerde sürüm bilgisi ve hata ayıklama dizelerine “mutlu” işareti eklenerek güncelliğini korumaktadır.

Scan Your Business Email Inbox to Find Advanced Email Threats - Try AI-Powered Free Threat Scan

Bununla birlikte, diğer Kimsuky kötü amaçlı yazılımları gibi (örnekler AppleSeed ve AlphaSeed’dir), hedef odaklı kimlik avı e-postaları HappyDoor’u dağıtmak için kullanılır ve bu e-posta eklerinde genellikle gizlenmiş JScript veya çalıştırılabilir damlalıklar olarak gelir.

Onu diğer arka kapılardan ayıran şey, belirli yürütme argümanlarını kullanarak çalışmasıdır.

Son örnekler, Kimsuky’nin ilk arka kapı kurulumlarında sıklıkla HappyDoor’un bunlardan biri olduğunu gösteriyor ve bu da onun kötü amaçlı yazılım dizisindeki öneminin devam ettiğini vurguluyor.

İlk olarak 2021 yılında keşfedilen ve 2024 yılına kadar aktif olan HappyDoor kötü amaçlı yazılımı sürekli olarak güncellenmektedir.

Son örnekler (Aralık 2023 – Şubat 2024) aylık yamaları göstermektedir. Ancak kötü amaçlı yazılım sürüm bilgisini sabit kodlar.

Geçmiş ve mevcut sürüm bilgilerindeki değişiklikler (Kaynak – ASEC)

Yürütme argümanları sürüm 4.1’den (yaklaşık 2023) itibaren tanıtıldı ve işlemler bu parametrelere göre bölündü.

Kötü amaçlı yazılımın bulaşmasının üç aşaması şunlardır: ‘install*’ (ilk çalıştırma), ‘init*’ (kurulumun tamamlanması) ve ‘run*’ (gerçek kötü amaçlı eylemler).

Daha sonra “install*” argümanı, şaşırtma amacıyla rastgele dizelerle değiştirildi. Bu, bu kötü amaçlı yazılımın gelişimi üzerinde nasıl çalışıldığını ve saldırganların tespit edilmekten nasıl kaçınmaya çalıştığını gösteriyor.

HappyDoor, regsvr32.exe aracılığıyla üç aşamada çalışır: –

Bu, kendi kendini kopyalayan, programlayıcıyı kaydeden ve ayrıca arka kapı açmaya da izin veren bir bilgi hırsızıdır.

HappyDoor uygulama akışı (Kaynak – ASEC)

Bilgi hırsızlığı açısından kötü amaçlı yazılımın altı temel işlevi vardır: ekran yakalama, anahtar günlüğü tutma, dosya sızıntısı ve veri hırsızlığı için RSA şifreleme ve şifre çözme algoritmasının kullanılması ve ayrıca HTTP kullanan C&C sunucularıyla iletişim.

HappyDoor, kodlanmış verileri kayıt defteri yollarına kaydeder ve eşleriyle iletişim kurmak için üzerinde anlaşılan bir paket yapısını kullanır.

Kayıt defterindeki yapılandırma, çoklu iş parçacıklarını kullanarak çalışan bu kötü amaçlı yazılımın bilgi çalma yeteneklerini kontrol eder.

HappyDoor’un iletişim akışı (Kaynak – ASEC)

Çalındıktan sonra geçici olarak tutulur ve C&C sunucusuna gönderilmeden önce şifrelenir ve orada yok edilir. Diğer işlevler arasında sistem ayrıntılarının toplanması ve arka kapıya yönelik belirli komutların yürütülmesi yer alır.

Aşağıda tüm ana fonksiyonlardan bahsettik:

  • EKRAN GÖRÜNTÜSÜ(SSHT)
  • KEYLOGGER(WISE)
  • FILEMON(FMON)
  • ALARM(AUSB, AMTP)
  • MICREC(MREC)
  • MTPMON(MMTP)

HappyDoor, Kuzey Kore bağlantılı “Kimsuky” grubuyla bağlantılı ve bu kötü amaçlı yazılımı hedef odaklı kimlik avı saldırılarında, uzaktan erişim için ek araçlar yüklemede ve veri hırsızlığında kullanıyor.

Araştırmacılar, kullanıcıları e-posta ekleri konusunda dikkatli olmaya ve enfeksiyonu önlemek için yazılımı güncellemeye çağırdı.

IoC

MD5:-

  • d9b15979e76dd5d18c31e62ab9ff7dae
  • 4ef5e3ce535f84f975a8212f5630bfe8
  • a1c59fec34fec1156e7db27ec16121a7
  • c7b82b4bafb677bf0f4397b0b88ccfa2
  • 0054bdfe4cac0cb7a717749f8c08f5f3

C&C Sunucu Adresi:-

  • hxxp://app.seoul.minia[.]ml/who.php
  • hxxp://users.nya[.]pub/index.php
  • hxxp://go.ktspace.pe[.]kr/index.php
  • hxxp://on.ktspace.pe[.]kr/index.php
  • hxxp://aa.olxa.pe[.]kr/index.php
  • hxxp://uo.zosua.or[.]kr/index.php
  • hxxp://jp.hyyeo.pe[.]kr/index.php
  • hxxp://ai.hyyeo.pe[.]kr/index.php

Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free



Source link