Trellix Advanced Araştırma Merkezi, Güney Kore’deki diplomatik görevleri hedefleyen Kimuky Grubuna (APT43) atfedilen DPRK bağlantılı bir casusluk operasyonunu ortaya çıkardı.
Mart ve Temmuz arasında, en az 19 mızrak aktı e-postası, güvenilir diplomatik kişileri taklit etti ve Dropbox ve Daum’da barındırılan şifre korumalı zip arşivleri aracılığıyla kötü amaçlı yazılım sundu.
Bu e -postalar, büyükelçilik personeline AB toplantıları, ABD Bağımsızlık Günü kutlamaları ve askeri öğle yemeği gibi etkinliklere güvenilir davetiyelerle, genellikle gerçek diplomatik faaliyetlerle çakışacak şekilde zamanlanmıştır.
Kampanya, Github’ı bir komut ve kontrol (C2) merkezi olarak istismar etti ve HTTPS üzerinden veri açığa çıkmasını ve yük alımının meşru trafikle karışmasını sağladı.
Xenorat Remote Access Trojan’ın bir çeşidi, saldırganlara tuş vuruşu günlüğü, ekran görüntüsü yakalama ve dosya aktarımları da dahil olmak üzere tam sistem kontrolü sağladı ve uzlaşmış sistemlerden istihbarat toplanmasını kolaylaştırdı.
Çok aşamalı enfeksiyon zinciri
Enfeksiyon, PDF’ler olarak gizlenmiş kötü niyetli pencereler kısayollarını (.lnk dosyaları) barındıran zip dosyaları içeren mızrak-aktı e-postaları ile başladı.
Yürütme üzerine, bu, GitHub depolarından baz64 kodlu yükleri indiren ve planlanan görevler yoluyla kalıcılık oluşturan gizlenmiş PowerShell komut dosyalarını tetikledi.
Keşif komut dosyaları, işletim sistemi sürümü, IP adresi ve çalıştırma işlemleri gibi sistem ayrıntılarını numaralandırmış, verileri Base64 kodlu dosyalardaki API yüklemeleri yoluyla GitHub’a eksifiltrasyon.
C2 için saldırganlar, kurbanları Confuser Core 1.6.0 ile aşınmış olan Dropbox barındıran Xenorat yüklerine yönlendiren “Onf.txt” gibi dosyalardaki talimatları barındırmak için “Blairity” ve “Landjhon” hesapları gibi özel depolar kullandılar.
Bu yükler, GZIP başlık manipülasyonundan sonra yansıtıcı bir şekilde belleğe yüklendi.
Altyapı analizi, 158.247.230.196 gibi IP’leri bilinen Kimuky sunucularına bağladı, Çin tatilleriyle ilişkili olan +08: 00 zaman diliminde Pazartesi-Cuma operasyonlarını gösteren etkinlik modelleri ile DPRK attı olmasına rağmen Çin’e dayanan operatörleri gösteriyor.
Defansif Analizler
Timatik yemler, Kore hizmet kullanımı ve önceki kampanyalarla eşleşen Xenorat varyantları gibi taktiklerin üst üste binmesiyle ilişkilendirme puanları kimuky’ye sıkıca işaret ediyor.
Ancak, Qingming Festivali gibi Çin tatillerinde operasyonel duraklamalar olası Çin desteğini veya temelini gösteriyor.
Rapora göre, kampanya T1566.001 (Spearphing eki), T1059.001 (PowerShell yürütme) ve T1567.002 (Web hizmeti üzerinden eksfiltrasyon) dahil olmak üzere MITER ATT & CK teknikleriyle eşleşiyor.
LNK/Downloader.zrd ve Xenorat/Packed.A gibi uç nokta güvenlik bayrağı imzaları gibi ürünler arasında trellix algılamaları.
Operasyon aktif kalır, bu tür devlet destekli tehditlere karşı koymak için diplomatik ağlarda gelişmiş e-posta güvenliği, github izleme ve anomali tespiti ihtiyacını vurgular.
Uzlaşma temel göstergeleri (IOCS)
| Tip | Gösterge | Tanım |
|---|---|---|
| Dosya Hash (SHA256) | 1E10203174FB1FCFB47B00CAC2FE6FE666060839B7A2F53D8C0892845B0029 | Diplomasi Dergisi Zip |
| Dosya Hash (SHA256) | CF2CBA1859B2DF4E927B8D52C630CE7AB6700BABF9C7B4030F8243981B1A04FA | ABD Büyükelçiliği Davetiyesi Zip |
| IP: Port | 141.164.40.239:443 | Xenorat C2 |
| Url | https://dl.dropbox.com/scl/fi/sb19vsslj13wdkndskwuou/eula.rtf?… | Yük URL’si |
| E -posta | [email protected] | ABD Büyükelçiliği Cazibesi Gönderen |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!