Kuzey Kore’nin devlet destekli APT grubu Kimuky’ye atfedilen büyük bir iç takım, arka kapı ve istihbarat toplama artefaktları, varsayılan içericiler tarafından çevrimiçi olarak yayınlandı.
34.000 sayfalık döküm, canlı kimlik avı altyapısı, çekirdek düzeyinde backroors, kobalt grev yükleri ve çalınan hükümet sertifikalarını ortaya çıkarır.
Key Takeaways
1. Insider leak of Kimsuky’s full phishing toolkit targeting dcc.mil.kr.
2. Discovery of Tomcat kernel LKM backdoor and custom Cobalt Strike beacon.
3. Compromise includes stolen GPKI certificates, MoFA email code, and onnara_sso access to internal South Korean networks.
Kimuky Hackers Veri İhlali
Sabre’e (“Cyborg”) göre arşiv, Güney Kore’nin savunma karşı istihbarat komutuna (dcc.mil.kr) karşı kullanılan özel bir kimlik avı platformu için tam kaynak içeriyor. İhlal, jeneratör gibi dosyaları ortaya çıkarır[.]PHP ve Config[.]PHP, şunları içerir:
Config.php’deki bir IP kara listesi, güvenlik satıcı tarayıcılarını (Trend Micro, Google) sahte siteyi algılamasını engeller.
Sahiplenmiş HTTPS alanında kimlik bilgilerine giren kurbanlar derhal meşru bir https://dcc.mil’e yönlendirildi.[.]Kr Uri, bir giriş hatasını tetiklemek ve kimlik bilgisi hırsızlığını maskelemek.
Artefaktlar arasında gizli bir TCP SEQ + IP ID’yi tespit eden bir Tomcat uzak çekirdek arka kapısı (LKM), Gizli Master.C işlemini ortaya çıkarmak için:
Tetiklendikten sonra, modül saldırgan ve kurban arasında SSL şifrelenmiş bir kanal açar. Sabit kodlanmış ana şifre “MIU2jacgxedsxd” dağıtımlar arasında sabit kalır.
Buna ek olarak, Java’da yazılmış özel bir kobalt grev işaretçisi, konfigürasyon parametreleriyle kurtarıldı:
- Beacontype: http
- Liman: 8172
- Uyku zamanı: 60842 ms
- UserAgent: Mozilla/5.0 (Uyumlu; MSIE 9.0…)
Kaynak Kodu dizini (.IDEA/Workspace.xml), Haziran 2024 kadar yakın zamanda aktif geliştirmeyi gösterir.
Sızıntı ayrıca Güney Kore Dışişleri Bakanlığı E -posta Sunucusu Kodunun (mofa.go.kr[.]7Z) ve çalıntı bir Java yardımcı programı (cert.java) ile korunan devlet genel anahtar altyapı sertifikaları.
Brute-Force Logs, Unification.go.kr ve spo.go’ya karşı tekrarlanan şifre denemelerini (5697452641) kaydedin[.]Kr.
Geliştiriciler, iç hükümet portallarına kalıcı erişimi gösteren onnara9.saas.gcloud.go.kr’a referans alan onnara_sso adlı bir SSO aracı dikti.
Bu benzeri görülmemiş veri dökümü, savunuculara Kimuky’nin TTP’lerine derin bir bakış sunuyor: bağlantı noktası çalma, bellek içi çekirdek implantları, özel C2 çerçeveleri ve çalınan sertifikaların kötüye kullanılması.
Güney Kore ve Müttefik ülkelerdeki kuruluşlar, açıkta olan kod kalıplarını derhal denetlemeli, uzlaşmış sertifikaları iptal etmeli ve anormal TCP SEQ/IP kimliği kombinasyonları için ağ düzeyinde algılamayı dağıtmalıdır.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.