Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Coğrafi Odak: Asya
APT37, Arka Kapı Truva Atını Bırakmak için Yerel Dilde Kimlik Avı E-postaları Gönderdi
Jayant Chakravarti (@JayJay_Tech) •
8 Ekim 2024
Kuzey Koreli siber casusluk grubu APT 37, Kamboçya’da casusluk yapıyor ve İnternet kullanıcılarını kötü amaçlı dosyalar indirmeleri için kandırmak amacıyla yerel Khmer dilinde hedef odaklı kimlik avı e-postaları gönderiyor. Siber güvenlik firması Securonix’e göre bilgisayar korsanları daha sonra VeilShell adı verilen ve güvenliği ihlal edilmiş sistemleri kontrol etmelerine yardımcı olan çok yönlü PowerShell tabanlı bir arka kapı sunuyor.
Ayrıca bakınız: 2024 Dolandırıcılık Analizleri Raporu
APT 37, Kim Jong Un rejimi hakkında bilgi toplamak amacıyla yıllardır Güneydoğu Asya’daki ülkeleri hedef alıyor. En son kimlik avı kampanyası, Kuzey Kore’nin bölgedeki balistik füze testlerindeki artışa ilişkin gerilimlerin arttığı bir dönemde gerçekleşti. Kamboçya ve Kuzey Kore diplomatik ilişkilerini 1964’ten bu yana sürdürüyor ancak Kamboçya’yı da içeren 10 eyaletli Asya koalisyonu ASEAN Temmuz ayında füze testini kınadı.
“Shrouded#Sleep” adlı kampanyada Kuzey Koreli grup tarafından gönderilen kimlik avı e-postalarını analiz eden Securonix araştırmacıları, APT37’nin Kamboçya’nın eğitim, sağlık, tarım ve tarım alanlarındaki yıllık gelir ayrıntıları gibi yerel temalardan ve iş arayanların ilgi alanlarından yararlandığını söyledi. diğer sektörler.
Grup, .lnk uzantılı ancak pdf adlı kısayol dosyalarını kullanarak Excel belgelerini zip arşivlerine yem olarak ekledi.[.]lnk veya .xlsx[.]Alıcıları meşru bir PDF veya elektronik tablo belgesi açtıklarını düşünmeleri için kandırmak amacıyla. Grup ayrıca belgeleri kısayol dosyalarında gösterilen Excel veya PDF simgeleriyle gizledi.
Securonix araştırmacıları, kötü amaçlı kısayol dosyasını açmanın bir dizi olayı tetiklediğini söyledi. Kısayol dosyası, PowerShell aracılığıyla kodu çözülen ve diske yazılan Base64 kodlu üç veriyi bırakır. Bu dosyalar gerçek bir yem dosyası belgesini, bir yapılandırma dosyasını ve DomainManager.dll adlı kötü amaçlı bir DLL dosyasını içerir.
Araştırmacılar, DLL dosyasının, saldırının bir sonraki aşamasını indirip yürütmek için uzak bir dosya barındırma sitesindeki kodu kontrol eden basit bir yükleyici kötü amaçlı yazılım gibi davrandığını buldu. Bu aşamada kötü amaçlı yazılım, bir JavaScript kodunu yürütmek için .NET ortamındaki JavaScript’i kullanır; bu kod daha sonra virüslü sistemin ana bilgisayar adını uzak bir sunucuya gönderir ve ardından aynı C2 sunucusundan alınan kodu indirip çalıştırır.
Kod yürütüldüğünde, saldırganlara depolanan bilgileri uzaktan sızdırma ve virüslü sistemleri kontrol etme yeteneği veren bir arka kapı uzaktan erişim Truva Atı görevi gören VeilShell betiğini devreye sokar.
APT37, muhtemelen kodun genel kapladığı alanı ve antivirüs motorlarının kötü amaçlı yazılımı algılama olasılığını azaltmak için, sistem komutlarını arka kapıdan doğrudan yürütmeye yönelik kötü amaçlı yazılım içinde işlevsellik içermiyordu. Araştırmacılar, bilgisayar korsanlarının bunun yerine zamanlanmış görevleri kullanarak veya kayıt defteri aracılığıyla sistem komutlarını yürütebileceğini söyledi.