olarak bilinen Kuzey Kore gelişmiş kalıcı tehdit (APT) grubu Kimsuki bir keşif ve bilgi sızdırma operasyonunun parçası olarak RandomQuery adlı özel bir kötü amaçlı yazılımın kullanıldığı gözlemlendi.
SentinelOne araştırmacıları Aleksandar Milenkoski ve Tom Hegel, “Son zamanlarda Kimsuky, sonraki saldırıları etkinleştirmek için keşif kampanyalarının bir parçası olarak sürekli olarak özel kötü amaçlı yazılım dağıtıyor.” söz konusu bugün yayınlanan bir raporda.
Siber güvenlik firmasına göre devam eden hedefli kampanya, öncelikle bilgi hizmetlerine ve ayrıca insan hakları aktivistlerini ve Kuzey Koreli sığınmacıları destekleyen kuruluşlara yöneliktir.
2012’den beri aktif olan Kimsuky, Kuzey Kore’nin operasyonel yetkileri ve öncelikleriyle uyumlu hedefleme modelleri sergiledi.
İstihbarat toplama görevleri, bu ayın başlarında SentinelOne tarafından detaylandırıldığı üzere ReconShark adlı başka bir keşif programı da dahil olmak üzere çeşitli kötü amaçlı yazılımların kullanımını içeriyordu.
Grupla ilişkili en son etkinlik kümesi 5 Mayıs 2023’te başladı ve dosyaları numaralandırmak ve hassas verileri sifonlamak için özel olarak tasarlanmış bir RandomQuery varyantından yararlanıyor.
FlowerPower ve AppleSeed ile birlikte RandomQuery, en sık dağıtılan Kimsuky’nin cephaneliğindeki araçlar, eskisi bir bilgi hırsızı ve TutRAT ve xRAT gibi uzaktan erişim truva atlarını dağıtmak için bir kanal olarak işlev görüyor.
Saldırılar, potansiyel hedefleri bir Microsoft Derlenmiş HTML Yardımı (CHM) dosyası açmaya ikna etmek için Kuzey Kore meselelerini kapsayan Seul merkezli önde gelen bir çevrimiçi yayın olan Daily NK’dan geldiği iddia edilen kimlik avı e-postalarıyla başlar.
Bu aşamada, CHM dosyalarının ScarCruft olarak adlandırılan farklı bir Kuzey Koreli ulus-devlet aktörü tarafından yem olarak benimsendiğini belirtmekte fayda var.
CHM dosyasının başlatılması, RandomQuery’nin bir VBScript çeşidi olan ikinci aşama yükünü almak için uzak bir sunucuya bir HTTP GET isteği gönderen bir Visual Basic Komut Dosyasının yürütülmesine yol açar.
Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
Kötü amaçlı yazılım daha sonra sistem meta verilerini, çalışan işlemleri, yüklü uygulamaları ve farklı klasörlerdeki dosyaları toplamaya devam eder ve bunların tümü komut ve kontrol (C2) sunucusuna geri iletilir.
Araştırmacılar, “Bu kampanya aynı zamanda grubun kötü amaçlı yazılımları CHM dosyaları aracılığıyla dağıtma konusundaki tutarlı yaklaşımını da gösteriyor” dedi.
“Bu olaylar, görev alanları yalnızca siyasi casusluk değil aynı zamanda sabotaj ve mali tehditleri de kapsayan Kuzey Koreli tehdit gruplarının sürekli değişen manzarasının altını çiziyor.”
Bulgular, AhnLab Güvenlik Acil Durum Müdahale Merkezi’nin (ASEC) günler sonra gelmesine neden oldu. açıkta Kimsuky tarafından düzenlenen ve kurbanlar tarafından girilen kimlik bilgilerini toplamak için ulusal politika araştırma enstitüleri tarafından kullanılan benzer bir web posta sisteminin kurulmasını gerektiren bir su kuyusu saldırısı.
İlgili bir gelişmede, Kimsuky ayrıca saldırılara bağlı Bunlar, savunmasız Windows Internet Information Services (IIS) sunucularını, daha sonra Go tabanlı proxy kötü amaçlı yazılımını dağıtmak için kullanılan Metasploit Meterpreter istismar sonrası çerçevesini bırakmak için silah haline getirir.