Kuzey Kore destekli apt grubu Kimuky, kötü amaçlı yazılım teslimi ve veri açığa çıkması için GitHub depolarını silahlandırarak siber operasyonlarını, saldırı metodolojilerinde sofistike bir evrimi işaretleyerek artırdı.
Bu son kampanya, grubun, tehlikeye atılan sistemlere kalıcı erişimi sürdürürken geleneksel güvenlik önlemlerinden kaçınmak için meşru bulut altyapısını kötüye kullanma konusundaki artan uzmanlığını göstermektedir.
Saldırı zinciri, elektronik vergi faturası (전자세금계산서 .pdf.lnk) olarak gizlenmiş bir LNK dosyası içeren kötü amaçlı bir zip arşivi ile başlar.
Yürütüldüğünde, bu silahlandırılmış kısayol, saldırgan kontrollü GitHub depolarından ek kötü amaçlı komut dosyalarını indiren ve yürüten bir PowerShell komutu başlatır.
İlk yük, sistematik veri toplama için bir temel oluşturur ve enfekte sistemlerde uzun vadeli kalıcılığı korur.
S2W araştırmacıları, Group_0717, Group_0721, Test, Hometax ve Group_0803 dahil olmak üzere bu kampanyayla ilişkili dokuz özel GitHub depounu belirlediler.
Tehdit aktörleri, bu depolara erişmek için doğrudan PowerShell komut dosyalarına doğrudan PowerShell komut dosyalarına yerleştirilmiş ve dikkatli operasyonel güvenlik planlaması gösteren sert kodlanmış GitHub özel jetonları yerleştirdiler.
Maddi tarihlerin analizi, saldırganın e -posta adresini ortaya çıkardı (Sahiwalsuzuki4[@]Gmail.com) GitHub Hesap Oluşturma sırasında kullanılır.
Kötü amaçlı yazılımların kalıcılık mekanizması, uzun vadeli erişimi sürdürmek için özellikle sofistike bir yaklaşımı temsil eder.
İlk enfeksiyon üzerine, Main.ps1 komut dosyası, % AppData % dizininin altında microsoftedgeupdate.ps1 adlı bir dosya oluşturur ve “Bitlocker MDM Politika Yenileme {adıyla planlanmış bir görev oluşturur {dbhdfe12-496sdf-q48d-sdef-1865bcad7e00}”.
Bu görev, ilk 5 dakikalık gecikmeden sonra her 30 dakikada bir yürütülür ve GitHub deposundan güncellenmiş PowerShell komut dosyalarını almak ve yürütmek için otomatik bir sistem oluşturur.
Dinamik senaryo yönetimi ve bilgi toplama
Kötü amaçlı yazılım, enfekte sistemleri zaman damgası olan ve veri açığa vurma için özelleştirilmiş klasörler oluşturan dinamik bir komut dosyası yönetim sistemi kullanır.
PowerShell yükü, depodan real.txt adlı bir dosyayı indirir, yer tutucu dizelerini zaman damgalı değerlerle (ntxbill_ {mmdd_hhmm}) değiştirir ve zamana özgü bir dosya adı biçimi kullanılarak değiştirilmiş komut dosyasını yeniden yükler.
Bu mekanizma, saldırganların bireysel enfeksiyonları izlemesine ve birden fazla uzlaşılmış sistemi aynı anda yönetmesine olanak tanır.
Bilgi çalma bileşeni, IP adresleri, önyükleme süreleri, işletim sistemi detayları, donanım özellikleri, cihaz türleri, kurulum tarihleri ve çalışma işlemleri dahil olmak üzere kapsamlı sistem meta verilerini toplar.
Toplanan tüm veriler günlük dosyalarına derlenir ve zaman damgalı klasörler altında saldırganın deposuna yüklenir ve tehdit aktörleri için organize bir istihbarat veritabanı oluşturulur.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.