Kimsuky olarak takip edilen Kuzey Koreli tehdit aktörünün, daha önce belgelenmemiş Golang tabanlı bir kötü amaçlı yazılım kullandığı gözlemlendi. Durian Güney Koreli kripto para birimi firmalarını hedef alan yüksek hedefli siber saldırıların bir parçası olarak.
Kaspersky, 2024’ün ilk çeyreğine ilişkin APT trend raporunda “Durian, teslim edilen komutların yürütülmesine, ek dosya indirmelerine ve dosyaların dışarı sızmasına olanak tanıyan kapsamlı arka kapı işlevselliğine sahip” dedi.
Ağustos ve Kasım 2023’te meydana gelen saldırılar, enfeksiyon yolu olarak Güney Kore’ye özel meşru yazılımın kullanılmasını gerektirdi, ancak programı manipüle etmek için kullanılan kesin mekanizma şu anda belirsiz.
Bilinen şey, yazılımın saldırganın sunucusuyla bağlantı kurması ve bu sayede enfeksiyon dizisini başlatan kötü amaçlı bir verinin alınmasına yol açmasıdır.
İlk aşamada, ek kötü amaçlı yazılımlar için bir yükleyici ve ana bilgisayarda kalıcılık oluşturmanın bir yolu olarak hizmet eder. Ayrıca, sonunda Durian’ı çalıştıracak bir yükleyici kötü amaçlı yazılımın yolunu da açıyor.
Durian ise Kimsuky’nin temel arka kapısı olan AppleSeed, LazyLoad olarak bilinen özel bir proxy aracı ve ngrok ve Chrome Uzaktan Masaüstü gibi diğer meşru araçlar da dahil olmak üzere daha fazla kötü amaçlı yazılım tanıtmak için kullanılıyor.
Kaspersky, “Sonuçta aktör, çerezler ve oturum açma bilgileri de dahil olmak üzere tarayıcıda saklanan verileri çalmak için kötü amaçlı yazılımı yerleştirdi” dedi.
Saldırının dikkate değer bir yönü, Lazarus Grubu içindeki bir alt küme olan Andariel tarafından daha önce kullanıma sunulan LazyLoad’un kullanılması, iki tehdit aktörü arasında potansiyel bir işbirliği veya taktiksel örtüşme olasılığını artırıyor.
Kimsuky grubunun, APT43, Black Banshee, Emerald Sleet (eski adıyla Thallium), Springtail, TA427 ve Velvet Chollima gibi kötü amaçlı siber faaliyetleriyle en az 2012’den beri aktif olduğu biliniyor.
Münzevi krallığın önde gelen askeri istihbarat örgütü olan Genel Keşif Bürosu’nun (RGB) bir unsuru olan 63. Araştırma Merkezi’ne bağlı bir unsur olduğu değerlendiriliyor.
ABD Federal Soruşturma Bürosu (FBI) ve Ulusal Güvenlik Ajansı (NSA) bir uyarıda, “Kimsuky aktörlerinin birincil görevi, politika analistleri ve diğer uzmanları tehlikeye atarak Kuzey Kore rejimine çalıntı veriler ve değerli jeopolitik bilgiler sağlamaktır.” dedi. bu aydan daha erken.
“Başarılı tavizler, Kimsuky aktörlerinin daha güvenilir ve etkili hedef odaklı kimlik avı e-postaları oluşturmasına olanak tanıyor ve bu e-postalar daha hassas, daha yüksek değerli hedeflere karşı kullanılabilecek.”
Broadcom’un sahibi olduğu Symantec, ulus-devlet düşmanının aynı zamanda C# tabanlı bir uzaktan erişim truva atı ve Dropbox’ı “tehdit izlemeden kaçmak için saldırıları için bir üs” olarak kullanan TutorialRAT adlı bilgi hırsızı sunan kampanyalarla da bağlantılı olduğunu söyledi.
“Bu kampanya, APT43’ün BabyShark tehdit kampanyasının bir uzantısı gibi görünüyor ve kısayol (LNK) dosyalarının kullanımı da dahil olmak üzere tipik hedef odaklı kimlik avı teknikleri kullanıyor” diye ekledi.
Bu gelişme, AhnLab Güvenlik İstihbarat Merkezi’nin (ASEC), ScarCruft adlı başka bir Kuzey Kore devlet destekli bilgisayar korsanlığı grubu tarafından düzenlenen ve RokRAT’ın konuşlandırılmasıyla sonuçlanan Windows kısayol (LNK) dosyalarıyla Güney Koreli kullanıcıları hedef alan bir kampanyayı ayrıntılarıyla açıklamasıyla ortaya çıktı.
APT37, InkySquid, RedEyes, Ricochet Chollima ve Ruby Sleet olarak da bilinen bu düşman kolektifin, Kuzey Kore Devlet Güvenlik Bakanlığı (MSS) ile uyumlu olduğu ve ülkenin stratejik askeri, siyasi güçlerini desteklemek için gizli istihbarat toplamakla görevlendirildiği söyleniyor. ve ekonomik çıkarlar.
ASEC, “Yakın zamanda onaylanan kısayol dosyalarının (*.LNK) Güney Koreli kullanıcıları, özellikle de Kuzey Kore ile ilişkili olanları hedef aldığı tespit edildi” dedi.