Kuzey Koreli siber casusluk grubu Kimsuky, yeni keşif amaçlı kötü amaçlı yazılım bırakan kötü amaçlı makrolarla donanmış belgelerdeki Microsoft OneDrive bağlantılarını kullanan yeni bir hedef odaklı kimlik avı kampanyasıyla saldırı cephaneliğini genişletti.
SentinelLabs’teki araştırmacılar, tehdit aktörünün yeni bir kampanyasını gözlemledi Kore Risk Grubu’nun hedef personeli (KBY), Kore Demokratik Halk Cumhuriyeti’ni (Kuzey Kore) doğrudan ve dolaylı olarak etkileyen konularda uzmanlaşmış bir bilgi ve analiz şirketidir.
Aynı kampanyanın üniversitelerdeki bireyleri (Kimsuky için yeni bir kurban havuzu) ve ayrıca Kuzey Amerika, Avrupa ve Asya’daki hükümet kuruluşları, araştırma merkezleri ve düşünce kuruluşları gibi tipik hedefleri hedef almak için kullanıldığına inanıyorlar. son blog gönderisi.
SentinelOne’dan Tom Hegel ve Aleksandar Milenkoski gönderide kampanyanın, daha önce geçen yılın sonlarına doğru kampanyalarda kullanılan BabyShark adlı özel bir kötü amaçlı yazılım varyantının bir bileşeni olan ve bu nedenle adını alan ReconShark adlı yeni kötü amaçlı yazılımı kullanan uzun süredir devam eden APT’yi gösterdiğini yazdı.
Araştırmacılar, ReconShark’ın, dosya adlandırma kurallarındaki, kullanılan kötü amaçlı yazılım hazırlama tekniklerindeki ve kod biçimindeki çakışmalara dayanarak hedeflenen ağlara erişim elde etmek için konuşlandırılmış algılama mekanizmaları ve donanım bilgileri dahil olmak üzere bilgileri sızdırabileceğini söyledi.
Araştırmacılar gönderide, kötü amaçlı yazılımın “muhtemelen savunmalardan kaçınmak ve platform zayıflıklarından yararlanmak için özel olarak tasarlanmış kötü amaçlı yazılımları içeren, sonraki hassas saldırılara olanak tanıyan Kimsuky tarafından yönetilen bir keşif operasyonunun parçası” gibi göründüğünü yazdı.
Özenle Hazırlanmış E-postalar
Araştırmacılar, mızrakla kimlik avı genellikle Kimsuky’nin çalışma tarzının bir parçası olsa da, grubun en son kampanyada e-postaları dikkatli bir şekilde oluşturmaya özel önem verdiğini ve bu nedenle şüphe uyandırmadıklarını söyledi.
“[They] belirli kişiler için ayarlanmış bir tasarım kalitesi düzeyiyle yapılır ve hedef tarafından açılma olasılığını artırır” diye yazdı araştırmacılar. “Bu, şüphelenmeyen kullanıcılara meşru görünen uygun biçimlendirme, dilbilgisi ve görsel ipuçlarını içerir.”
Araştırmacılar, özellikle, kötü amaçlı belgeleri indirmek için bağlantılar içeren hedeflenen e-postaların ve kötü niyetli belgelerin kendilerinin, siyaset bilimciler gibi uzmanlıkları cazibe konusuyla ilgili gerçek kişilerin adlarını kötüye kullandığını söyledi.
KRG’ye karşı kampanya, mesajda indirilmek üzere sunulan – ReconShark’ı çalıştıran makroları içeren – kötü amaçlı belgeyi barındırmak için özellikle Microsoft OneDrive’ı kullandı.
Örneğin, kampanyada kullanılan sahte bir e-postada, kötü amaçlı yazılımı indirmek için kötü amaçlı bir makro içeren “Research Proposal-Haowen Song.doc” adlı parola korumalı bir belge dosyasına OneDrive paylaşılan dosya bağlantısı dahil edildi.
Araştırmacılar, indirildikten sonra ReconShark’ın ana sorumluluğunun, çalışan işlemler, sisteme bağlı pil hakkındaki bilgiler ve dağıtılan uç nokta tehdit algılama mekanizmaları gibi virüslü platform hakkındaki bilgileri sızdırmak olduğunu söyledi. Kötü amaçlı yazılımın, işlem ve pil bilgilerini sorgulamak için Windows Yönetim Araçları’na (WMI) bağlı olması bakımından önceki BabyShark türevlerine benzediğini eklediler.
Ancak araştırmacılar, ReconShark’ın hedeflenen sistemle ilgili verileri çalmaktan daha fazlasını yapabileceğini söyledi. Ayrıca, komut dosyaları (VBS, HTA ve Windows Batch), makro etkin Microsoft Office şablonları veya Windows DLL dosyaları olarak uygulanan çok aşamalı bir şekilde daha fazla yük dağıtabilir.
Araştırmacılar gönderide, “ReconShark, virüslü makinelerde hangi algılama mekanizması işlemlerinin çalıştığına bağlı olarak hangi yüklerin konuşlandırılacağına karar veriyor” dedi.
Hedef Tabanını Genişletmek
Thallium olarak da izlenen Kimsuky, 2018’den beri çeşitli araştırmacıların radar ekranlarında ve SentinelOne’ın söylediğine göre 2012’ye kadar uzanan önceki etkinliği geniş çapta rapor edildi. Daha önceki saldırılarda, grup esas olarak araştırma kurumlarına, jeopolitik düşünce kuruluşlarına ve – özellikle salgının en yoğun olduğu dönemde – ilaç şirketlerine karşı siber casusluk yapmaya odaklanmıştı.
Kimsuky’nin son faaliyetleri, güvenlik araştırmacıları arasındaki profilini yükseltmiş olsa da, grup yılmaz görünüyor ve operasyonlarını genişletmeye devam ediyor. Aslında yeni kampanya, siber güvenlik şirketinin kurucu ortağı Dror Liwer’ın Kimsuky’yi hedef yelpazesine üniversiteleri de eklediğini gösteriyor. Korosiber güvenlik savunmaları ve bilinçlendirme programlarının genel eksikliği nedeniyle “endişe verici” olduğunu söylüyor.
Dark Reading’e bir e-postada, “Geçen yıl ABD’deki eğitim kurumlarına yönelik saldırılarda, bir saldırganın bakış açısından mükemmel bir fırtına tarafından yönlendirilen üç basamaklı bir artış gördük: Son derece değerli veriler ve eksik savunma” dedi. .
Genel olarak, kuruluşlar, gelen iletileri şüpheli etkinlik açısından kontrol etmek için tarama araçlarını kullanmak gibi genel olarak iyi e-posta güvenliği hijyeni uygulayarak Kimsuky ve diğer aktörlerin hedefli kimlik avı kampanyalarından gelen saldırıları engelleyebilir, böylece bunlar kullanıcılara ulaşmadan önce işaretlenir.
Uzmanlar, çalışanları ve bir kuruluşun e-posta sistemini kullanan diğer kişileri eğitmenin, diğer güvenlik savunmalarından sızan kötü amaçlı mesajları tespit etmelerine ve böylece uzlaşmayı önlemelerine yardımcı olabileceğini söylüyor.