Siber güvenlik araştırmacıları, “Moonstone Sheet” adlı Kuzey Kore tehdit oyuncusuna atfedilen sofistike bir fidye yazılımı kampanyası belirlediler.
Grup, Güneydoğu Asya ve Avrupa’daki finansal kurumları ve kripto para birimi borsalarını hedefleyen gelişmiş bir özel fidye yazılımı gerginliği kullandı ve daha önce Kuzey Kore siber operasyonlarında gözlemlenmeyen gelişen teknik yetenekleri ve kaçınma tekniklerini gösterdi.
Kuzey Kore’nin Keşif Genel Bürosu şemsiyesi altında faaliyet gösterdiğine inanılan ay taşı squet, görünüşte iyi huylu PDF ekleri içeren hedefli mızrak aktı e-postalarıyla başlayan çok aşamalı bir enfeksiyon zinciri geliştirdi.
Bu belgeler, Popüler PDF okuyucularında, Windows kayıt defteri değişiklikleri aracılığıyla kalıcılık oluşturan filtressiz bir yükleyici yürütmek için daha önce bilinmeyen bir güvenlik açığından yararlanır.
Saldırı zinciri, nihai fidye yazılımı yükünü almak için karadan geçme tekniklerini ve şifreli iletişim kanallarını kullanarak geleneksel algılama yöntemlerini akıllıca atlatır.
Kampanya ilk olarak Şubat 2025’in sonlarında Singapur’daki bir finans kurumunun anormal ağ trafik kalıpları ve şifreli sistemler bildirdiği tespit edildi.
Sonraki soruşturma, benzer saldırıların Tayland, Vietnam, Almanya ve Birleşik Krallık’ta en az yedi kuruluştan ödün verdiğini ve toplam fidye taleplerinin kripto para biriminde 17 milyon doları aştığını ortaya koydu.
Önceki Kuzey Kore fidye yazılımı operasyonlarından farklı olarak, Moonstone Squet, kurumsal güvenlik mimarileri hakkında sofistike bir anlayış gösterir ve modern uç nokta koruma platformlarını atlamak için özel olarak tasarlanmış karşı önlemleri uygular.
Microsoft araştırmacıları, Moonstone sleet’in kodlarını gizlemek için özel gizleme teknikleri geliştirmek için önemli kaynaklar yatırdığını belirtiyor.
Saldırı zinciri
Fidye yazılımı, iyileşmeyi özellikle mağdurlar için zorlaştıran eşsiz iki aşamalı şifreleme süreci kullanır.
Kötü amaçlı yazılımların analizi, anahtar dağılımı için tehlikeye atılmış alan denetleyicilerini kullanan özel anahtar değişim protokolleri ile birlikte ChaCha20 şifrelemesinin olağandışı bir uygulanmasını ortaya çıkarmıştır.
.webp)
Kötü amaçlı yazılımların komut modülünün adli analizi, ayrıcalık artışına yönelik sofistike yaklaşımı vurgulayan aşağıdaki kod parçasını ortaya çıkardı:
def escalate_privileges():
# Check if process is running with administrative privileges
if ctypes.windll.shell32.IsUserAnAdmin() == 0:
# Attempt UAC bypass using CMSTPLUA COM interface
CLSID_CMSTPLUA = '{3E5FC7F9-9A51-4367-9063-A120244FBEC7}'
IID_IElevatedFactoryServer="{30adc50c-5cbc-46ce-9a0e-d4585e5c5164}"
try:
elevation_service = comtypes.CoCreateInstance(
comtypes.GUID(CLSID_CMSTPLUA),
interface=comtypes.GUID(IID_IElevatedFactoryServer),
clsctx=comtypes.CLSCTX_LOCAL_SERVER
)
# Execute payload with elevated privileges
elevated_moniker = elevation_service.ServerCreateElevatedObject(
comtypes.GUID(CLSID_ScriptletFactory)
)
elevated_moniker.ExecuteCommand(get_stage2_payload())
return True
except:
# Fall back to alternative methods
return attempt_alternate_escalation()
return True.webp)
Fidye yazılımı, meşru HTTPS trafiğini taklit eden, ancak görünüşte normal web isteklerine komutları yerleştiren özel bir protokol aracılığıyla komut ve kontrol sunucularıyla iletişim kurar.
Ağ savunucuları, Doğu Avrupa ve Güneydoğu Asya’da tehlikeye atılmış altyapı üzerinde barındırılan çeşitli komut ve kontrol sunucusu belirlediler ve trafik saldırganların gerçek konumunu gizlemek için birden fazla vekilden geçti.
Altyapı, hızlı sunucu dönüşü ve yetkisiz IP aralıklarından erişilirse kendi kendini yok eden coğrafi erişim kontrolleri de dahil olmak üzere gelişmiş operasyonel güvenlik önlemlerini gösterir.
Kuzey Kore’ye atfetme, daha önce belgelenmiş DPRK operasyonları, bilinen Kuzey Kore kampanyalarıyla paylaşılan komut altyapısı ve Pyongyang’ın finansal motivasyonlarıyla tutarlı kalıpları hedefleme ile kod benzerliklerinden kaynaklanmaktadır.
Ayrıca, fidye yazılımı, Kuzey Kore kötü amaçlı yazılımlarda ortak bir özellik olan UTC+9 zaman diliminde çalışma saatlerinde yürütmeyi önleyen zamanlama kontrolleri içerir.
Kuruluşlara sağlam e -posta filtreleme uygulamaları, düzenli çevrimdışı yedeklemeler yapmaları, uygulama kontrol çözümleri dağıtmaları ve hangi güvenlik satıcılarının standart tehdit istihbarat kanalları aracılığıyla dağıtılmaya başladıkları uzlaşma göstergelerini izlemeleri önerilir.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.