Kuzey Koreli tehdit aktörleri, geliştirici odaklı araçları enfeksiyon vektörleri olarak kullanarak saldırı stratejilerini geliştiriyor.
Son güvenlik keşifleri, 2012’den bu yana faaliyet gösteren bir ulus devlet grubu olan Kimsuky’nin sistemlere sızmak ve kalıcı komuta ve kontrol altyapısı oluşturmak için JavaScript tabanlı kötü amaçlı yazılım kullandığını ortaya koyuyor.
Tehdit grubu geleneksel olarak devlet kurumlarına, düşünce kuruluşlarına ve konunun uzmanlarına karşı casusluk operasyonlarına odaklanıyor ancak bu son kampanya, onların genişleyen teknik yeteneklerini ve tedarik zincirinde karmaşıklığı hedeflediklerini gösteriyor.
Saldırı zinciri basit ama etkili bir dağıtım mekanizmasıyla başlar: İlk damlalık görevi gören Themes.js adlı bir JavaScript dosyası.
Ağır şekilde karartılmış kötü amaçlı yazılımların aksine, bu örnek, bir try-catch bloğuna sarılmış basit kod kullanır ve işlevselliğe gizlilikten daha fazla öncelik verir.
Dosya, medianewsonline’da barındırılan, düşman kontrollü bir altyapıyla bağlantıyı başlatıyor[.]com, tehdit aktörlerinin kötü amaçlı amaçlarla alt alan adları oluşturmasına olanak tanıyan bir alan adı altyapı hizmetidir.
.webp)
Bu altyapı seçimi, saldırganın, güvenlik sistemlerinin genellikle beyaz listeye aldığı veya gözden kaçırdığı meşru barındırma hizmetlerine ilişkin anlayışını yansıtır.
Darbeli güvenlik araştırmacıları, enfeksiyon zincirini analiz ederken çok aşamalı saldırı mimarisinin karmaşıklığına dikkat çekti.
Kötü amaçlı yazılım, her aşamanın sonraki bileşenleri indirip çalıştırdığı basamaklı bir yük dağıtım sistemi aracılığıyla çalışır.
İlk JavaScript dosyası iuh234’e bir GET isteği gönderir[.]medyanewsonline[.]com/dwnkl.php, ele geçirilen makinenin ana bilgisayar adını ve sabit kodlanmış bir kimlik doğrulama anahtarını iletiyor.
Bu keşif aşaması, saldırganların seçilen sistemlere ek yükler dağıtmadan önce yüksek değerli hedefleri belirlemesine olanak tanır.
Enfeksiyon Zincirinin Parçalanması
İkinci aşama, daha fazla kullanım için kritik sistem bilgilerinin toplandığı kampanyanın keşif omurgasını temsil ediyor.
.webp)
C2 sunucusu ilk GET isteğine yanıt verdiğinde, etkilenen sistemin ortamını sistematik olarak numaralandıran beş işlev içeren başka bir JavaScript verisi gönderir.
Kötü amaçlı yazılım, donanım özellikleri ve ağ yapılandırma ayrıntıları dahil olmak üzere sistem bilgilerini toplamak için komutları yürütür.
Daha sonra, çalışan tüm işlemlerin kapsamlı bir listesini alarak saldırganlara yüklenen güvenlik yazılımı ve veri yükünün yürütülmesine müdahale edebilecek meşru uygulamalar hakkında bilgi sağlar.
Keşif aşaması ayrıca C:\Users dizinindeki dosyaları sıralayarak kullanıcı profillerini hedef alır ve potansiyel olarak değerli verileri veya yapılandırma dosyalarını belirler.
Her komutun çıktısı dolap (.cab) dosyalarında paketlenir ve POST istekleri aracılığıyla aynı C2 sunucusuna aktarılır.
Kötü amaçlı yazılım, HKCU\Console\CodePage kayıt defteri anahtarını UTF-8 kodlamasına değiştirerek, veri toplama sırasında metnin uygun şekilde işlenmesini sağlayarak teknik gelişmişlik göstermektedir.
Geçici dosyalar, adli analizleri engelleyen temel operasyonel güvenlik uygulamaları uygulanarak, sızma sonrasında sistematik olarak silinir.
Kalıcılık mekanizmaları, saldırganların uzun vadeli erişime olan bağlılığını ortaya koyuyor.
Kötü amaçlı yazılım kendisini %APPDATA%\Microsoft\Windows\Themes\Themes.js dosyasına yazıyor ve wscript.exe’yi kullanarak her dakika JavaScript bırakıcısını çalıştıran Windows Tema Yöneticisi adında zamanlanmış bir görev oluşturuyor.
Bu yaklaşım, yükseltilmiş ayrıcalıklar gerektirmeden komuta ve kontrol bağlantısını sürdürmek için meşru Windows planlama yardımcı programlarından yararlanır ve ayrıcalık yükseltme uyarılarına güvenen savunucular için algılamayı daha zor hale getirir.
Kampanyanın son aşamasında, potansiyel olarak bir sosyal mühendislik cazibesi olarak hizmet eden bir Word belgesi dağıtım bileşeni tanıtılıyor.
Ancak güvenlik araştırmacıları belgenin gömülü makrolar olmadan boş kaldığını tespit etti ve bu da belgenin belirli hedefler için yer tutucu veya ikincil enfeksiyon vektörü olarak işlev görebileceğini öne sürdü.
Bulaşma zincirinin tamamı, birden fazla yürütme mekanizmasında dayanıklı bir kalıcılık sağlarken geleneksel tespitten kaçınmak için tasarlanmış, hesaplanmış kötü amaçlı yazılım mühendisliğini göstermektedir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
