
Eylül 2025’in başlarında, sadece “Kim” olarak bilinen bir siber aktöre atfedilen büyük bir veri ihlali, Kimuky’nin (APT43) operasyonel oyun kitabına benzeri görülmemiş bir görüş bıraktı.
Terminal geçmişi dosyaları, kimlik avı alanları, OCR iş akışları, derlenmiş stagers ve tam bir Linux rootkit içeren sızıntı, Güney Kore hükümeti PKI sistemlerini ve Tayvanlı akademik ağları hedefleyen kimlik merkezli bir kampanya ortaya koydu.
Artefaktlar, PKI ve VPN dağıtımlarıyla ilgili Koreli dil PDF belgelerinden yapılandırmaların ayıklamaları için kullanılan OCR komutlarının yanı sıra NASM ile yinelemeli kabuk kodu gelişimini sergileyen Bash geçmişlerini içerir.
İhlalin kapsamı, eski okul rootkit kalıcılığını, ortada görme avı altyapısı ile harmanlayan teknikte bir evrimi vurgular.
.webp)
DoDaintools analistleri, NID-Security.com ve Webcloud-notice.com dahil olmak üzere resmi Kore portallarını taklit eden bir kötü amaçlı sitelerin geniş bir ağına işaret eden alan telemetrisinin kanıtlarını belirledi.
Bu siteler, belge tabanlı hasattan aktif AITM müdahalesine doğru belirgin bir geçiş olan kimlik bilgilerini kesmek için gerçek zamanlı TLS vekilleri kullanılmıştır.
Dökme ayrıca, Oracle, Svradmin ve App_ADM01 gibi yüksek özellikli hesaplar için yönetici şifre rotasyonlarını detaylandıran PAM günlükleri içeriyordu. 136 00 001_env.ey gibi düz metin GPKI anahtar dosyaları Güney Kore Hükümeti kriptografik varlıklarının doğrudan uzlaşmasını onayladı.
Güney Kore’nin ötesinde, Daintools araştırmacıları, aktörün Tayvanlı hükümet ve araştırma kurumlarının hedefli keşiflerini yürüttüğünü, maruz kalan kaynak depolarını numaralandırmak ve gömülü sırları hasat etmek için .git dizinlerine eriştiğini belirtti.
.webp)
163.29.3.119 ve 118.163.30.45 gibi IP adresleri, Tayvan hükümet omurgalarına kayıtlı, kasıtlı tedarik zinciri problamasının altını çiziyor.
Gitee.com ve baidu.com’a karşı keşif kütüklerinin yanı sıra kimlik avı kitlerine bağlı brülör e -posta adreslerinin varlığı, Çin altyapısını evreleme ve kaçırma için kullanan hibrit bir DPRK -PRC ayak izini yansıtır.
Enfeksiyon mekanizması
Kötü amaçlı yazılımların enfeksiyon mekanizmasının daha yakından incelenmesi, özel kabuk kodunu halka açık çerçevelerle birleştiren iki aşamalı bir yükleyici ortaya çıkar.
İlk yük, gibi bayraklarla derlenmiş el işi bir NASM kabuk kodu saplamadır -f win32
belleğe tahsis etmek için tasarlanmış VirtualAlloc
ve Win32 API çağrılarını Hashed İçe Aktarma Tabloları’ndan çözün:-
; start.asm
BITS 32
extern VirtualAlloc
section .text
_start:
push 0
push 4096
push 0x3000
push -1
call [VirtualAlloc]
; Hash API resolution and payload injection follows
Bellek tahsis edildikten sonra, yükleyici, yürütmeyi aktarmadan önce sürecin içinde ikincil bir yükü (genellikle kobaltstike türevi bir Stager) şifresini çözer ve yamalar.
Bu yaklaşım, kabuk kodu polimorfik olduğundan ve API çağrıları basit xor karma rutinleri tarafından gizlendiğinden imza tabanlı tespitten kaçınır.
Kalıcılık ısmarlama bir Linux rootkit ile elde edilir, vmmisc.ko
gibi syscall’ları kanca yapan read
Ve getdents
Dosyaları, dizinleri ve ağ soketlerini gizlemek için.
Beyerek insmod /usr/lib64/tracker-fs/vmmisc.ko
rootkit gömülü bir kullanıcı alanı arka kapı ikili ikili, daha sonra bir şifreyle korunan bir çorap ve pty tabanlı ters kabuk takar (testtest
).
.webp)
Rootkit’in çift modlu ikili gömme tekniği çekirdek modülünü ve userland yürütülebilir dosyasını birleştirerek yalnızca .ko
Adli Keşif’i engellemek için diskte dosya.
.webp)
Bu enfeksiyon zinciri, manuel takım düzeneğinin bir karışımının ve Titanldr ve Blacklotus gibi açık kaynaklı depoların fırsatçı kullanımının altını çizerek Kimuky’nin büyüyen sofistike olduğunu gösteriyor.
Güney Kore ve Tayvan’daki kuruluşlar artık düşük seviyeli kabuk kodu mühendisliğini gizli çekirdek modu implantlarıyla birleştiren çok aşamalı, kimlik bilgisi ilk saldırıları öngörmelidir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.