
Konni Apt olarak bilinen Kuzey Kore bağlantılı tehdit oyuncusu, Ukrayna’daki hükümet kuruluşlarını hedefleyen bir kimlik avı kampanyasına atfedildi ve tehdit oyuncusunun Rusya’nın ötesine hedeflendiğini gösteriyor.
Kurumsal güvenlik firması Proofpoint, kampanyanın nihai hedefinin “Rus istilasının yörüngesinde” istihbarat toplamak olduğunu söyledi.
Güvenlik araştırmacıları Greg Lesnewich, Sazer Naumaan ve Mark Kelly, “Grubun Ukrayna’ya olan ilgisi, stratejik istihbarat toplama amaçları için Rusya’daki devlet kuruluşlarının tarihsel hedeflemesini izliyor.” Dedi.
Opal sleet, Osmium, TA406 ve Vedalia olarak da bilinen Konni Apt, Güney Kore, ABD ve Rusya’da hedefleme varlıkları geçmişi olan bir siber casusluk grubudur. En az 2014’ten beri faaliyet gösteriyor.
Tehdit oyuncusu tarafından monte edilen saldırı zincirleri genellikle Konni Rat (diğer adıyla updog) adlı kötü amaçlı yazılım dağıtmak için kimlik avı e -postalarının kullanımını içerir ve alıcıları kimlik bilgisi hasat sayfalarına yönlendirir. Proofpoint, Kasım 2021’de yayınlanan tehdit grubunun bir analizinde, TA406’yı Kimuky, Tallium ve Konni Grubu olarak izlenen etkinliği oluşturan birkaç aktörden biri olarak değerlendirildi.
Siber güvenlik şirketi tarafından belgelenen en son saldırılar, aynı zamanda var olmayan bir organizasyon olan Kraliyet Stratejik Araştırmalar Enstitüsü adlı bir düşünce kuruluşunda hayali bir kıdemli adamı taklit eden kimlik avı e-postalarının kullanılmasını gerektirir.
E-posta mesajları, mega bulut hizmetinde barındırılan şifre korumalı bir RAR arşivine bağlantı içerir. RAR arşivini, mesaj gövdesinde belirtilen bir şifreyi kullanarak açmak, tehlikeye atılan makinelerin kapsamlı bir keşifini yapmak için tasarlanmış bir enfeksiyon dizisi başlatır.

Özellikle, RAR arşivinde mevcut, eski Ukrayna askeri lideri Valeriy Zaluzhnyi ile ilgili tuzak içeriği görüntüleyen bir CHM dosyasıdır. Kurban sayfanın herhangi bir yerine tıklaması durumunda, harici bir sunucuya ulaşmak ve sonraki aşamalı bir PowerShell yükünü indirmek için HTML içine gömülü bir PowerShell komutu yürütülür.
Yeni başlatılan PowerShell komut dosyası, sistem hakkında bilgi toplamak için çeşitli komutları yürütebilir, Base64 kodlama kullanarak kodlayabilir ve aynı sunucuya gönderebilir.
Araştırmacılar, “Oyuncu, hedefin bağlantıyı tıklamadığı, hedefe önceki e -postaları alıp almadığını ve dosyaları indirip indirmeyeceklerini sorduğu ardışık günlerde birden fazla kimlik avı e -postası gönderdi.” Dedi.
Proofpoint, bir HTML dosyasının doğrudan kimlik avı mesajlarına ek olarak dağıtıldığını da gözlemlediğini söyledi. Saldırının bu varyasyonunda, kurban HTML dosyasındaki gömülü bir bağlantıyı tıklaması talimatı verilir ve bu da iyi huylu bir PDF ve Windows kısayol (LNK) dosyası içeren bir fermuarlı arşivin indirilmesine neden olur.
LNK çalıştırıldığında, Visual Basic komut dosyası kullanarak “Theme.jse” adlı JavaScript kodlu bir dosyayı bırakmak için Base64 kodlu PowerShell’i yürütür. JSE kötü amaçlı yazılım, saldırgan kontrollü bir URL ile iletişime geçer ve PowerShell üzerinden sunucudan yanıtı çalıştırır. Yükün kesin doğası şu anda bilinmemektedir.
Ayrıca, TA406, Protonmail hesaplarından Ukrayna hükümet kuruluşlarına sahte Microsoft Güvenlik Uyarısı mesajları göndererek kimlik bilgilerini toplamaya çalışırken, onları Amerika Birleşik Devletleri’nde bulunan IP adreslerinden şüpheli oturum açma etkinliği uyararak ve bir bağlantıyı ziyaret ederek girişi doğrulamaya çağırarak tespit edildi.
Kimlik bilgisi hasat sayfası kurtarılmamış olsa da, aynı tehlikeye atılan alanın geçmişte naver giriş bilgilerini toplamak için kullanıldığı söylenir.
Proofpoint, “Bu kimlik bilgisi hasat kampanyaları, kötü amaçlı yazılım dağıtımı girişiminden önce gerçekleşti ve daha sonra HTML dağıtım kampanyasını hedefleyen aynı kullanıcıların bazılarını hedef aldı.” Dedi. “TA406, Kuzey Kore liderliğinin tiyatrodaki güçleri için mevcut riski ve Rusya’nın daha fazla birlik veya silahlanma talep etme olasılığını belirlemesine yardımcı olmak için istihbarat toplaması büyük olasılıkla.”
Diyerek şöyle devam etti: “Taktik savaş alanı bilgilerini toplamak ve Ukrayna güçlerinin yerinde hedeflenmesi ile görevlendirilmiş Rus gruplarının aksine, TA406 tipik olarak daha stratejik, politik istihbarat toplama çabalarına odaklanmıştır.”

Açıklama, Koni Group’un, bir taksi arşivi çıkarmak için PowerShell komut dosyalarını çalıştıran ve sonuçta hassas veri toplayabilen ve bir uzak sunucuya yayılabilen parti komut dosyası kötü amaçlı yazılımları sunan LNK dosyaları içeren zip arşivleri ile Güney Kore’deki gelişmiş bir çok aşamalı kötü amaçlı yazılım kampanyası ile bağlantılı olduğu için gelir.
Bulgular ayrıca, komuta ve kontrol (C2 veya C&C) iletişimleri, web tarayıcı verileri ve kripto para birimi cüzdanı bilgilerini oluşturabilen bir stealer kötü amaçlı yazılım sunarak Güney Kore’deki devlet kurumlarını hedeflemek için Kimuky tarafından düzenlenen mızrak-aktı kampanyaları ile birlikte.

Güney Koreli siber güvenlik şirketi Ahnlab’a göre, Kimsuky de mızrak aktı yoluyla başlatılan çok aşamalı bir enfeksiyon dizisinin bir parçası olarak Pebbledash’ı yaymak için de gözlendi. Truva atı ABD hükümeti tarafından Mayıs 2020’de Lazarus Grubuna atfedildi.
“Kimuky Group çeşitli kötü amaçlı yazılım türleri kullanırken, Pebbledash durumunda, saldırılarını başlatmak için ilk erişim aşamasında mızrak phishing tarafından bir LNK dosyasına dayalı kötü amaçlı yazılım yürütüyorlar.” Dedi.

“Daha sonra bir görev zamanlayıcısı oluşturmak ve otomatik yürütme için kaydetmek için bir PowerShell komut dosyası kullanırlar. Bir Dropbox ve TCP soket tabanlı C&C sunucusu ile iletişim yoluyla, grup Pebbledash dahil birden fazla kötü amaçlı yazılım ve araç yükler.”
Koni ve Kimuky, Seul’e odaklanan tek Kuzey Kore tehdit aktörlerinden uzak. Mart 2025 kadar yakın bir tarihte, Güney Koreli kuruluşların Scarcruft olarak da adlandırılan APT37 tarafından gerçekleştirilen başka bir kampanyanın alıcı ucunda bulundu.
Operasyon Toybox Story olarak adlandırılan mızrak aktı saldırıları, Cenler Güvenlik Merkezi’ne (GSC) göre Kuzey Kore’ye odaklanan birkaç aktivist seçti. Gözlenen ilk mızrak kimlik avı saldırısı 8 Mart 2025’te gerçekleşti.
Güney Kore şirketi, “E -posta, kötü niyetli bir kısayol (LNK) dosyası içeren sıkıştırılmış bir arşive yol açan bir Dropbox bağlantısı içeriyordu.” Dedi. “Çıkarıldığında ve yürütüldüğünde, LNK dosyası ‘oyuncak’ anahtar kelimesini içeren ek kötü amaçlı yazılımları etkinleştirdi.”

LNK dosyaları, bir tuzak HWP dosyası başlatacak ve PowerShell komutlarını çalıştırmak için yapılandırılmıştır, bu da TOY03.bat, Toy02.bat ve Toy01.bat adlı dosyaların yürütülmesine yol açar;
Rokrat, sistem bilgilerini toplamak, ekran görüntülerini yakalamak ve C2 için PCLOUD, Yandex ve Dropbox dahil olmak üzere üç farklı bulut hizmeti kullanmak için donanımlıdır.
“Tehdit oyuncusu meşru bulut hizmetlerini C2 altyapısı olarak kullandı ve hedef uç noktalara yüklenen antivirüs yazılımlarının algılamasından kaçınmak için sözsüz saldırı tekniklerine odaklanırken kısayol (LNK) dosyalarını değiştirmeye devam etti.” Dedi.