Deep#Drive olarak adlandırılan bir kimlik avı saldırısı Güney Koreli varlıkları hedefliyor ve binlerce kişi zaten etkileniyor. Kimuky Grubu’ndan Kuzey Koreli hackerlar, bu siber casusluk kampanyasının arkasındaki başlıca şüphelilerdir.
Securonix, Eylül 2024’ten bu yana Güney Koreli işletmeleri, devlet kuruluşlarını ve kripto para birimi kullanıcılarını hedefleyen çok aşamalı bir operasyon olan Deep#Drive Saldırı Kampanyası ile ilgili soruşturmasını paylaştı. Saldırının birincil amacı büyük olasılıkla Güney Koreli varlıklardan duyarlı bilgiler toplamak için casusluktur. zaten binlerce kurban iddia etti.
Hackread.com ile yayınlanmasından önce paylaşılan soruşturma, istihdam edilen saldırganların Özel kimlik avı yemleri Koreli olarak yazılmış ve hedeflenen ortamlara başarılı bir şekilde sızmak için iş günlükleri, sigorta belgeleri ve kripto ile ilgili dosyalar gibi meşru belgeler olarak gizlenmiştir.
Securonix, 대차 및 파레트 (Bogie ve Palet için Kore terimi) etiketli telgraf.exe uygulaması olarak gizlenmiş bir kimlik avı cazibesinin bir görüntüsünü paylaştı. Lojistik sektöründeki kurbanları kandırmak için olası bir girişim olduğunu gösteren toplam ağırlık (총중량) vb.
Amaçlanan kitlelere hitap etmek için hazırlanmış bu yemler, genellikle .hwp, .xlsx ve .pptx gibi güvenilir dosya formatlarında dağıtıldı ve Dropbox gibi yaygın olarak kullanılan platformlarda barındırıldı ve saldırganların geleneksel güvenlik savunmalarından kaçmasına ve “normal kullanıcıya karışmasına izin veriyor davranış.”
Secrounix’in araştırmacıları raporlarında açıkladığı “Kimlik avlamanın, toplanan örnekler ve dosya adları tipik olarak kimlik avı yemlerinde kullanılan ortak temalar ve ifadelerle güçlü bir şekilde uyumlu olarak bu kampanyada kötü amaçlı yazılım dağılımının birincil yöntemi olduğu açıktır.
Kampanya analizi
Kampanya, yük dağıtım, keşif (IP adresi, işletim sistemi detayları, antivirüs yazılımı ve çalışma süreçleri gibi sistem bilgileri toplama) ve kalıcılık (“chromeupdatetaskmachine” gibi planlanan görevleri kullanarak) için PowerShell komut dosyalarını ağır bir şekilde kullandı. Dropbox ayrıca veri açığa çıkması için de kullanıldı.
Saldırı zinciri tipik olarak kötü amaçlı PowerShell komut dosyalarının yürütülmesini başlatan meşru bir belge olarak gizlenmiş bir .lnk dosyası ile başlar. Bu komut dosyaları, bir .NET montajı da dahil olmak üzere, meşru bir uygulama olarak gizlenmiş (“telegram.exe” gibi) daha fazla yük indirir ve kalıcılık oluşturur. Anahtar bir keşif senaryosu olan “System_first.ps1” sistem bilgilerini toplar ve dışarı atar.
Araştırmacılar analiz sırasında yakalayamasa da, genellikle “temp.ps1” gibi bir komut dosyası aracılığıyla teslim edilen son yükün bir arka kapı olduğundan şüpheleniliyor. Saldırganların Dropbox Hesap Analizi, çok sayıda tehlikeye atılmış sistem yapılandırma dosyası ve çeşitli kötü amaçlı yükler gösterdi.
Gizli ve gizleme, anlamsız değişken adları, tekrarlanan alakasız atamalar ve algılamadan kaçmak için dize birleştirme gibi teknikler kullanan kilit unsurlardır ve ilişkili Dropbox bağlantılarının kaldırılması, saldırı altyapısının geçici olduğunu göstermektedir.
Saldırganın altyapısı, özellikle Dropbox bağlantıları kısa ömürlü görünse de, taktikler, teknikler ve prosedürler (TTP’ler), Güney Kore’yi hedeflemek ve benzer kullanan Kuzey Koreli ileri kalıcı tehdit (APT) grubu olan Kimuky tarafından kullanılanlara şiddetle benzemektedir. Önceki kampanyalarda Dropbox tabanlı yöntemler ”dedi.
Securonix, benzer saldırılara karşı savunmak için kimlik avı, kötü amaçlı yazılım dizinlerinin izlenmesi ve güvenilir uç nokta günlüğü (örn. PowerShell Logging) konusunda kullanıcı eğitimini önerir.