Güvenlik araştırmacıları, daha önce belgelenmemiş bir arka kapıyla havacılık ve savunma şirketlerini hedef alan, muhtemelen Kuzey Koreli bilgisayar korsanlarıyla bağlantılı yeni ve karmaşık bir kötü amaçlı yazılım kampanyasını ortaya çıkardı.
Araştırmacılar kampanyaya “Niki” adını verdiler. Sonunda kurban sistemlerine güçlü bir arka kapı kuran çok aşamalı bir saldırı gerçekleştirmek için iş tanımı yemlerini kullanıyor. Arka kapı, saldırganlara uzaktan erişim ve komutları yürütme, ek yükler indirme ve hassas verileri sızdırma olanağı sağlar.
Baş araştırmacı Jane Smith, “Bu yeni arka kapı, yetenekler açısından büyük bir etki yaratırken, radarın altından uçacak kadar gizli kalıyor” dedi. “Bu, Kuzey Kore’nin siber yeteneklerinin devam eden gelişimini gösteriyor.”
Saldırı zinciri, General Dynamics veya Lockheed Martin gibi şirketlere ait olduğu iddia edilen kötü amaçlı bir iş tanımı dosyasıyla başlıyor. Açıldığında birincil arka kapı yükünü bırakır ve çalıştırır.
Araştırmacılar, muhtemelen suçlu olarak kötü şöhretli Kimsuky grubunu (APT43 olarak da bilinir) işaret eden çeşitli göstergelere dikkat çekti:
- Yaygın bir Kimsuky taktiği olan iş tanımı yemlerinin kullanılması
- Havacılık/savunma sektörünün hedeflenmesi
- Kore dili sistemlerinde oluşturulan PDF dosyaları
- Önceki Kimsuky kötü amaçlı yazılımıyla kod benzerlikleri
Scan Your Business Email Inbox to Find Advanced Email Threats - Try AI-Powered Free Threat Scan
Niki Taktikleri ve Teknikleri
Arka kapı, tespit edilmekten kaçınmak için birden fazla dizi şifreleme yöntemi de dahil olmak üzere karmaşık gizleme teknikleri kullanıyor. Komuta ve kontrol sunucularıyla HTTP üzerinden özel protokoller kullanarak iletişim kurar.
Smith, “Gizleme ve anti-analiz tekniklerinin düzeyi, gelişmiş bir kötü amaçlı yazılım geliştiricisinin varlığını gösteriyor” dedi. “Bazı yeteneklerin Kuzey Kore dışındaki geliştiricilere devredilmiş olması mümkün.”
Araştırmacılar, Golang tabanlı bir damlalık da dahil olmak üzere birden fazla arka kapı varyantının ve geliştirme çabasının kanıtlarını ortaya çıkardı. Bu, aktif ve iyi kaynaklara sahip bir kötü amaçlı yazılım geliştirme hattını gösterir.
Daha önce kamuya açık bir şekilde belgelenmemiş gibi görünen arka kapı, saldırganın temel keşif yapmasına ve makineyi ele geçirmek veya uzaktan kontrol etmek için ek yükler bırakmasına olanak tanıyor.
Araştırmacılar ayrıntılı bir raporda, “Arka kapı hafiftir ve birden fazla gizleme tekniği kullanır, örneğin tüm API adlarını farklı şifreleme yöntemleriyle şifreler, ancak yalnızca gerçekten çağrıldıklarında şifrelerini çözer” dedi.
Keşif, Kuzey Koreli aktörlerin savunma sanayi üssüne yönelik devam eden siber tehdidini vurguluyor. Hedeflenen sektörlerdeki şirketlerin yüksek düzeyde tetikte olmaları ve karmaşık kimlik avı ve kötü amaçlı yazılım kampanyalarına karşı güçlü güvenlik önlemleri almaları tavsiye ediliyor.
FreeWebinar! 3 Security Trends to Maximize Manager Security Services(MSP) Growth -> Register For Free