Kimsuky’nin Yeni Kötü Amaçlı Yazılım Kampanyası Nedir? Kötü Amaçlı Yazılımın Etkileri Nelerdir? Hangi Ülkeler Hedef Alındı? RDP Açığı Nedir?
Kimsuky’nin Yeni Kötü Amaçlı Yazılım Kampanyası Nedir?
Kimsuky, Kuzey Kore devlet destekli bir tehdit aktörü olarak bilinen bir hacker grubudur. Son dönemlerde, bu grup özellikle Microsoft’un Uzak Masaüstü Hizmetleri’ndeki bir açığı istismar eden yeni bir kötü amaçlı yazılım kampanyasıyla gündeme gelmiştir. AhnLab Security Intelligence Center (ASEC) tarafından "Larva-24005" adı verilen bu kampanya, hedeflenen sistemlere sızmak için öncelikle bir güvenlik açığı kullanmaktadır. Bu bağlamda, kampanyada Uzak Masaüstü Hizmetleri’ndeki BlueKeep olarak bilinen açık (CVE-2019-0708) kullanılmaktadır.
Kötü Amaçlı Yazılımın Etkileri Nelerdir?
Kimsuky’nin gerçekleştirdiği kötü amaçlı yazılım kampanyası, kurbanların sistemlerinde derinlemesine bir etki yaratarak çeşitli zararlı yazılımların yerleştirilmesine olanak tanır. İlk erişim sağlandıktan sonra, kötü niyetli aktörler, sistem bilgilerini toplayan MySpy adlı bir kötü amaçlı yazılımın yanı sıra RDPWrap adlı bir aracı yüklemektedir. Bu araç, Uzak Masaüstü Bağlantıları için gerekli ayarların yapılmasını sağlamakta ve sonunda sisteme daha fazla erişim imkanı sunmaktadır.
Kampanya ayrıca, her bir basılan tuşun kaydedilmesi amacıyla KimaLogger ve RandomQuery gibi anahtar kaydediciler de içermektedir. Bu, saldırganların kurbanların gizli bilgilerine ulaşmasını kolaylaştırmaktadır. Bununla birlikte, kötü amaçlı yazılımlar, sistemin kontrolünü ele geçirerek verilerin kötüye kullanılmasına ve kullanıcıların kişisel bilgilerinin sızdırılmasına neden olmaktadır.
Hangi Ülkeler Hedef Alındı?
Kimsuky’nin son zamanlardaki kampanyasından, başta Güney Kore ve Japonya olmak üzere birçok ülke etkilenmiştir. Özellikle Güney Kore’deki yazılım, enerji ve finans sektörü gibi kritik alanlar hedef alınmıştır. Bunun yanında, Amerika Birleşik Devletleri, Çin, Almanya, Singapur, Güney Afrika, Hollanda, Meksika, Vietnam, Belçika, Birleşik Krallık, Kanada, Tayland ve Polonya gibi diğer ülkeler de bu kampanyadan zarar görmüştür. Tüm bu ülkelerdeki hedeflenmiş sektörler, genellikle stratejik öneme sahip olan ve yüksek hassasiyet gerektiren alanlardır.
RDP Açığı Nedir?
Remote Desktop Protocol (RDP), Windows işletim sistemlerinde uzak bağlantı sağlayan bir protokoldür. BlueKeep (CVE-2019-0708) olarak bilinen bu kritik güvenlik açığı, yetkisiz kullanıcıların sistemlere uzaktan erişim sağlamasına olanak tanıyan bir kusurdur. Microsoft tarafından 2019’un Mayıs ayında yamanmış olmasına rağmen, hala bazı sistemlerde bulunmakta olup, bu tür açıkların kötü niyetli kişiler tarafından istismar edilmesi oldukça yaygın bir durumdur.
Bu açık, saldırganların özellikle bir zararlı yazılım yükleyerek veya sistemdeki verileri çalarak kullanıcıların tamamen kontrolünü ele geçirmesine imkan tanımaktadır. Yüksek CVSS puanı (9.8) ile bu açık, en çok tehlike arz eden güvenlik zafiyetleri arasında yer almaktadır. RDP hizmetleri, uzaktan bağlantı kurulmasını sağlasa da, yetkisiz erişim durumlarında ciddi güvenlik tehditleri oluşturabilmektedir.
Kimsuky gibi gruplar, bu tür güvenlik açıklarını tespit ettiklerinde, hedeflenen sistemlere sızmak için bu yöntemleri kullanarak istihbarat toplamak veya çeşitli kötü amaçlı yazılımlar yüklemek üzere harekete geçmektedir. Kullanıcıların, güncellemeleri düzenli olarak takip etmeleri ve sistemlerini yamalamaları, bu tür tehditlerden korunmaları için son derece önemlidir.
Bu bağlamda, kullanıcıların güvenlik bilinci artırılmalı ve siber tehditlerle ilgili farkındalık düzeyleri yükseltilmelidir. Güvenli internet kullanımı, e-posta üzerinden gelen şüpheli linklerden kaçınma ve sistemlerin düzenli olarak güncellenmesi bu tür saldırılara karşı etkili birer savunma mekanizması oluşturacaktır.
