Siber Savaş / Ulus Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suç
Kimsuky veya İlgili Bir Grup, XenoRAT Varyantını Dağıtıyor
Jayant Chakravarti (@JayJay_Tech) •
22 Ağustos 2024
Cisco Talos, güvenlik araştırmacılarının bir kötü amaçlı yazılım kampanyasını açığa çıkarmasının ardından Kuzey Koreli bir bilgisayar korsanı ekibinin, herkese açık bulut bilişim depolama alanını kullanmaktan aceleyle kendi altyapısını kullanmaya başladığını söyledi.
Ayrıca bakınız: Web Semineri | 2024 Kimlik Avı İçgörüleri: 11,9 Milyon Kullanıcı Davranışının Riskiniz Hakkında Gösterdikleri
Siber güvenlik firması Çarşamba günü yaptığı açıklamada, UAT-5394 olarak takip ettiği bir tehdit grubunun, MoonPeak adı verilen uzaktan erişim zararlı yazılımını test etmek için kullandığı, çok sayıda sunucu, test ortamı ve web sitesinden oluşan karmaşık bir altyapıyı ortaya çıkardığını söyledi.
Haziran ayında grup, Google Drive, OneDrive ve Dropbox gibi bulut hizmetlerini kullanmaktan doğrudan kendi kontrolündeki sistemlere geçti. Muhtemelen bunu, Güney Koreli siber güvenlik firması AhnLab tarafından Mayıs ayında yayınlanan ve XenoRAT kötü amaçlı yazılımının dağıtımını ticari bulut hizmetlerine bağlayan araştırmayı okuduktan sonra yaptılar.
Talos, grubun altyapısını “hizmet sağlayıcılar tarafından bulut konumlarının potansiyel olarak kapatılmasından kaynaklanan enfeksiyonlarını korumak için” taşıdığını söyledi. Tehdit aktörü ayrıca görünüşe göre kendi komuta ve kontrol sunucularından birini QuasarRAT uzak Truva Atı ile enfekte etti. Tam olarak nedenini söylemek zor, ancak Talos, tehdit grubunun QuasarRAT’ı sunucusuna “erişimi sürdürmenin paralel bir yolu” olarak kasıtlı olarak yerleştirdiğine düşük bir güvenle inandığını söyledi.
Şirket, UAT-5394 faaliyetinin, yaygın olarak Kimsuky olarak takip edilen Pyongyang tehdit aktörüyle örtüştüğünü söyledi (bkz: Kimsuky, Sahte E-postalar İçin İzin Verici DMARC Politikalarını Kullanıyor).
Grup ya Kimsuky’nin kendisi ya da bir alt grubu ya da Kimsuky’den taktik, teknik, prosedür ve altyapı kalıpları ödünç alan başka bir Kuzey Koreli bilgisayar korsanlığı grubudur.
UAT-5394, Talos’un MoonPeak adını verdiği bir XenoRAT varyantını dağıtıyor. Talos, “MoonPeak, orijinal XenoRAT’ın işlevlerinin çoğunu içerse de, analizimiz varyantlar boyunca tehdit aktörlerinin kodu açık kaynaklı sürümden bağımsız olarak değiştirdiğini ve geliştirdiğini gösteren tutarlı değişiklikler gözlemledi” dedi.
XenoRAT, operatörlerinin Windows cihazlarını uzaktan kontrol etmelerini ve kötü amaçlı faaliyetler gerçekleştirmelerini sağlayan açık kaynaklı bir uzaktan erişim Truva atıdır. Kötü amaçlı yazılım, tespit edilmekten kaçınmak için karartma teknikleri kullanır, komuta ve kontrol sunucusuyla iletişim kurmak için SOCKS5 proxy’lerini kullanır ve meşru süreçler içinde çalışabilir. Çeşitli tehdit grupları kötü amaçlı faaliyetler için kötü amaçlı yazılım kodunu kullanır.
Talos araştırmacıları ayrıca, en son 16 Temmuz’da inşa edilen MoonPeak’in en son sürümünü barındıran UAT-5394 tarafından kullanılan başka bir sunucuyu da ortaya çıkardı. MoonPeak’in her değiştirilmiş çeşidi daha büyük bir karartma yeteneği gösterdi. Kuzey Koreli hackerlar ayrıca MoonPeak’in her bir versiyonunu, her bir çeşidin yalnızca komuta ve kontrol altyapısının belirli bölümleriyle çalışması için değiştiriyor.