olarak bilinen Kuzey Kore gelişmiş kalıcı tehdit (APT) grubu Kimsuki bir keşif ve bilgi sızdırma operasyonunun parçası olarak RandomQuery adlı özel bir kötü amaçlı yazılımın kullanıldığı gözlemlendi.
SentinelOne araştırmacıları Aleksandar Milenkoski ve Tom Hegel bugün yayınlanan bir raporda, “Son zamanlarda Kimsuky, müteakip saldırıları etkinleştirmek için keşif kampanyalarının bir parçası olarak sürekli olarak özel kötü amaçlı yazılım dağıtıyor.” Dedi.
Siber güvenlik firmasına göre devam eden hedefli kampanya, öncelikle bilgi hizmetlerine ve ayrıca insan hakları aktivistlerini ve Kuzey Koreli sığınmacıları destekleyen kuruluşlara yöneliktir.
2012’den beri aktif olan Kimsuky, Kuzey Kore’nin stratejik çıkarları olan grevci örgütler ve bireyler konusunda bir geçmişe sahip.
İstihbarat toplama görevleri, yakın zamanda, bu ayın başlarında SentinelOne tarafından detaylandırıldığı üzere, ReconShark adlı başka bir keşif aracının kullanımını içeriyordu.
Grupla ilişkili en son etkinlik kümesi 5 Mayıs 2023’te başladı ve dosyaları numaralandırmak ve hassas verileri sifonlamak için özel olarak tasarlanmış bir RandomQuery varyantından yararlanıyor.
FlowerPower ve AppleSeed’in yanı sıra RandomQuery, Kimsuky’nin cephaneliğinde en sık dağıtılan araçlar arasında yer alıyor; ilki bir bilgi hırsızı ve TutRAT ve xRAT gibi uzaktan erişim truva atlarını dağıtmak için bir kanal görevi görüyor.
Saldırılar, potansiyel hedefleri bir Microsoft Derlenmiş HTML Yardımı (CHM) dosyası açmaya ikna etmek için Kuzey Kore meselelerini kapsayan Seul merkezli önde gelen bir çevrimiçi yayın olan Daily NK’dan geldiği iddia edilen kimlik avı e-postalarıyla başlar.
Bu aşamada, CHM dosyalarının ScarCruft olarak adlandırılan farklı bir Kuzey Koreli ulus-devlet aktörü tarafından yem olarak benimsendiğini belirtmekte fayda var.
CHM dosyasının başlatılması, RandomQuery’nin bir VBScript çeşidi olan ikinci aşama yükünü almak için uzak bir sunucuya bir HTTP GET isteği gönderen bir Visual Basic Komut Dosyasının yürütülmesine yol açar.
Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
Koltuğumu Kurtar!
Kötü amaçlı yazılım daha sonra sistem meta verilerini, çalışan işlemleri, yüklü uygulamaları ve farklı klasörlerdeki dosyaları toplamaya devam eder ve bunların tümü komut ve kontrol (C2) sunucusuna geri iletilir.
Araştırmacılar, “Bu kampanya aynı zamanda grubun kötü amaçlı yazılımları CHM dosyaları aracılığıyla dağıtma konusundaki tutarlı yaklaşımını da gösteriyor” dedi.
“Bu olaylar, görev alanları yalnızca siyasi casusluk değil aynı zamanda sabotaj ve mali tehditleri de kapsayan Kuzey Koreli tehdit gruplarının sürekli değişen manzarasının altını çiziyor.”
Bulgular, AhnLab Güvenlik Acil Durum Müdahale Merkezi’nin (ASEC), kurbanlar tarafından girilen kimlik bilgilerini toplamak için ulusal politika araştırma enstitüleri tarafından kullanılan benzer bir web posta sistemi kurmayı gerektiren, Kimsuky tarafından düzenlenen bir sulama deliği saldırısını ortaya çıkarmasından günler sonra geldi.
İlgili bir geliştirmede Kimsuky, savunmasız Windows Internet Information Services (IIS) sunucularını, daha sonra Go tabanlı bir kötü amaçlı proxy sunucusunu dağıtmak için kullanılan Metasploit Meterpreter sömürü sonrası çerçevesini bırakmak için silah haline getiren saldırılarla da ilişkilendirildi.