Giriş
Kuzey Kore destekli siber saldırgan grubu Kimsuky (diğer adıyla Velvet Chollima), Mart ve Nisan 2026’da Güney Kore askeri ve kurumsal kuruluşlarını hedef alan yeni bir siber saldırı dalgasıyla tanımlandı. Bu saldırılar, sosyal mühendislik taktikleri ve bilinen bir kötü amaçlı yazılım ailesi olan HTTPSpy‘in farklı bir versiyonunu taşımaktadır.
Saldırı Nasıl Çalışıyor?
Kimsuky, saldırılarında sahte güvenlik yazılımı yükleme sayfaları oluşturarak ve gerçek bir Webex toplantı takvimini kullanarak oluşturduğu sahte sayfalardan yararlanıyor. Saldırılarında aşağıdaki yöntemler kullanılmakta:
- Güney Kore B2B mesajlaşma hizmetinin güvenlik yazılımı yükleme sayfasını taklit eden sahte bir web sayfası kullanarak kötü amaçlı yükler dağıtıyor.
- İndirilen dosyalar arasında “nos-setup.exe” ve “astx-setup.exe” gibi yükleyiciler bulunmaktadır, bunlar gerçekte nProtect Online Security ve AhnLab Safe Transaction (ASTx) olarak isimlendirilmektedir.
- Bunlar, “regsvr32.exe” aracılığıyla ikinci aşama bir DLL yükü olan “MemLoader.dll”i çalıştırırken, kendilerini diskten silen bir toplu betik çalıştırır.
Saldırıların bir başka aşamasında, sahte bir Cisco Webex sayfası kullanılarak kurbanlardan bir kameraya erişim sorununu çözmek için bir betik indirmeleri isteniyor. Bu betiğin çalıştırılmasıyla, şifrelenmiş bir JavaScript dosyası olan “fix-camera.jse” yükleniyor.
Etkilenen Sistemler
Bu saldırılar, esas olarak Güney Kore’deki askeri ve kurumsal yapıların yanı sıra çeşitli sektörleri hedef alıyor. Kimsuky’nin kullandığı teknikler arasında şunlar yer almakta:
- HTTPSpy: Uzak erişim virüsü, sistemde shell komutları çalıştırma, dosya yükleme/indirme, ekran görüntüsü alma gibi çeşitli yeteneklere sahip.
- Kötü amaçlı yazılım, ayrıca doğru bir toplantı odasına yönlendiren bir HTML dosyası olan “meeting.html” yükleyerek kurbanı tuzağa düşürmektedir.
- JSONPing: Malware’nin çalışıp çalışmadığını kontrol eden ve yükleme istemi gösteren sahte sayfalar aracılığıyla yapılan üçüncü aşama saldırılar.
Çözüm ve Korunma
Kullanıcıların ve sistem yöneticilerinin alması gereken önlemler şunlardır:
- Tüm sistemlerdeki yazılımların güncel tutulmasını sağlamak.
- Güvenilir olmayan kaynaklardan indirilen dosya ve programlara karşı dikkatli olunmalı ve zararlı yazılımlara karşı koruma duvarları uygulanmalıdır.
- Şüpheli e-postalara ve sosyal mühendislik saldırılarına karşı daha fazla farkındalık sağlanmalıdır.
- Port kapatmaları ve ağ güvenlik ayarlarının gözden geçirilmesi gerekmektedir.
Sonuç
Etkilenen kullanıcılar ve kuruluşlar, sistemlerini hızlı bir şekilde güncellemeli ve bilinmeyen kaynaklardan gelen dosya ve yazılımlara karşı dikkatli olmalıdır. Kötü amaçlı yazılımların sızma riskini azaltmak için düzenli siber güvenlik denetimleri yapılmalıdır.
