Kimjongrat stealer’ın iki yeni varyantı ortaya çıktı ve bu kötü niyetli aracın kalıcı ve gelişen doğasını ilk kez 2013’te tanımlandı.
Palo Alto Networks ‘Birimi 42 tarafından yapılan ayrıntılı araştırmalar, biri taşınabilir bir yürütülebilir (PE) dosyası ve diğeri bir PowerShell uygulaması kullanan bu varyantların, çok aşamalı damlalıkları dağıtmak için ilk enfeksiyon vektörü olarak silahlandırılmış bir Windows kısayol (LNK) dosyasını kullandığını ortaya koyuyor.
Kimjongrat varyantları hedef kripto cüzdanları
Bu sofistike saldırı zinciri nihayetinde, özellikle bireyler ve kuruluşlar için önemli bir tehdit oluşturan kripto para birimi cüzdan uzantılarına, tarayıcı kimlik bilgilerine ve sistem bilgilerine odaklanarak hassas kullanıcı verilerini çalmayı amaçlamaktadır.
.png
)
Saldırı, bir kullanıcı, Korece’de “Seks Suçlu Kişisel Bilgi Bildirimi” gibi cazip isimlerle meşru bir belge olarak maskelenen kötü amaçlı LNK dosyasını çift tıkladığında başlar.
CDN.Glitch gibi saldırgan kontrollü içerik dağıtım ağı (CDN) hesaplarında barındırılan bu dosya[.]Global, Windows % Temp % dizinine bir HTML uygulaması (HTA) dosyasının indirilmesini tetikler.
Gelişmiş çok aşamalı saldırı zinciri
PowerShell varyantında, sfmw.hta adlı HTA dosyası, bir tuzak PDF’yi bırakır ve aynı zamanda Pipe.zip adlı bir zip arşivi % LocalAppdata % klasörüne çıkarırken kurbanı rahatsız etmek için genellikle seks suçlularıyla ilgili bir Koreli dil belgesi bırakır.
Bu arşiv, Base64 kodlu Stealer ve Keylogger komut dosyalarını, eşlik eden günlük dosyalarından kod çözmek ve yürütmek için bir yükleyici görevi gören bir PowerShell komut dosyası (1.ps1) dahil kritik bileşenler içerir.
Bu komut dosyaları, Windows kayıt defteri girişleri aracılığıyla kalıcılık oluşturur ve Chrome, Edge ve Firefox’tan gelen tarayıcı verilerinin yanı sıra metamask, güven cüzdanı ve fantom gibi geniş bir kripto cüzdan uzantılarını hedefleyen komut ve kontrol (C2) sunucularına veri açılmasını başlatır.
PE varyantı benzer bir çok aşamalı yaklaşımı takip eder, ancak FTP ve e-posta istemci kimlik bilgileri dahil olmak üzere daha geniş veri hırsızlığına odaklanarak bir yükleyici DLL (Sys.dll) ve Main64.log (Orchestrator) ve Net64.log (Stealer) gibi ek yükler dağıtır.
Her iki varyant da kötü amaçlı trafiğini maskelemek için meşru CDN hizmetlerini kullanır ve tespit edilmesinden kaçınmak için XOR ve RC4 şifrelerini kullanan şifreli iletişim ile.
PowerShell varyantının anti-VM kontrolleri, kusurlu olsa da, kum havuzu ortamlarında analizden kaçınma niyetini gösterirken, çalışma işlevi çalınan verileri yüklemek ve ek yükler indirmek için C2 sunucusu ile sürekli olarak etkileşime girer.
Bu uyarlanabilirlik, kötü amaçlı yazılımların kripto para birimi ile ilgili varlıklara odaklanmasıyla birleştiğinde, geliştiricilerin 2019’daki yeniden ortaya çıkmasından bu yana Kimjongrat’ın yeteneklerini iyileştirme çabalarının altını çiziyor ve daha yeni örnekler 2024 yılına kadar yeni örnekler ve yakın zamanda Mart 2025 gibi güncelleniyor.
Palo Alto Networks, bu tehditlerin makine öğrenimi ve davranışsal analiz kullanarak uygulanmasını ve yürütülmesini tespit eden ve önleyen gelişmiş orman yangını, Cortex XDR ve gelişmiş tehdit önleme gibi çözümler yoluyla sağlam koruma sunar.
Uzlaşma Göstergeleri (IOCS)
| Tip | Gösterge (SHA256/URL) |
|---|---|
| LNK Dosyaları (Örnek) | A66C25B1F0DEA6E06A4C9F8C5F6EBBA0F6C21BD3B9CC326A56702DB30418F189 |
| HTA Dosyaları (Örnek) | 02783530bd8416bc82b1b5bbe81d5d87731d24c6ff6a8e12139a5fe3f6ff6a8e12139a5fe3fe3fe3fee |
| PowerShell Loader | 97d1bd6b4dc00c356dd873cd4as309e98f2bb17ae9a6791fc0a88bc056195a |
| CDN Stager URL (örnek) | cdn.glitch[.]Global/2Eefa6a0-44ff-4979-9A9C-689BE652996D/ |
| C2 URL (örnek) | 131.153.13[.]235/sp/ |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin