Kuzey Kore’ye bağlı ulus devlet aktörlerinin, güvenliği ihlal edilmiş makinelerin kontrolünü ele geçirmek için AppleSeed, Meterpreter ve TinyNuke gibi çeşitli arka kapılar ve araçlar sunmak amacıyla hedef odaklı kimlik avı saldırıları kullandıkları gözlemlendi.
Güney Kore merkezli siber güvenlik şirketi AhnLab, söz konusu aktiviteyi, şu şekilde bilinen gelişmiş bir kalıcı tehdit grubuna bağladı: Kimsuki.
AhnLab Güvenlik Acil Durum Müdahale Merkezi (ASEC) “AppleSeed kullanan saldırılarda dikkate değer bir nokta, benzer saldırı yöntemlerinin uzun yıllardır kullanılması ve birlikte kullanılan kötü amaçlı yazılımlarda önemli bir değişiklik yapılmamasıdır.” söz konusu Perşembe günü yayınlanan bir analizde.
On yılı aşkın bir süredir aktif olan Kimsuky, 2017 yılında odağını diğer coğrafyaları da kapsayacak şekilde genişletmeden önce, Güney Kore’deki çok çeşitli varlıkları hedeflemesiyle tanınıyor. Kuzey Kore’yi desteklemek için istihbarat topladığı için geçen ayın sonlarında ABD hükümeti tarafından onaylandı. Kore’nin stratejik hedefleri.
KULLANICIDAN YÖNETİCİYE: Bilgisayar Korsanlarının Tam Kontrolü Nasıl Kazandığını Öğrenin
Bilgisayar korsanlarının yönetici olmak için kullandıkları gizli taktikleri, çok geç olmadan bunu nasıl tespit edip engelleyeceğinizi keşfedin. Web seminerimize bugün kaydolun.
Tehdit aktörünün casusluk kampanyaları, açıldıktan sonra çeşitli kötü amaçlı yazılım ailelerinin yayılmasıyla sonuçlanan, kötü amaçlı yem belgeleri içeren hedef odaklı kimlik avı saldırıları aracılığıyla gerçekleştirilir.
Kimsuky tarafından kullanılan önde gelen Windows tabanlı arka kapılardan biri, Mayıs 2019 gibi erken bir tarihte kullanıma sunulan ve bir Android sürümünün yanı sıra Golang’da yazılmış yeni bir varyantla güncellenen bir DLL kötü amaçlı yazılımı olan AppleSeed’dir (aka JamBog). Alfa Tohumu.
Elma Tohumu Aktör tarafından kontrol edilen bir sunucudan talimatlar almak, ek yükleri bırakmak ve dosyalar, tuş vuruşları ve ekran görüntüleri gibi hassas verileri dışarı çıkarmak için tasarlanmıştır. AlphaSeed, AppleSeed gibi benzer özellikleri bünyesinde barındırıyor ancak bazı önemli farklılıklara da sahip.
“AlphaSeed Golang’da geliştirildi ve kullanılıyor kromedp ile iletişim için [command-and-control] ASEC, HTTP veya SMTP protokollerine dayanan AppleSeed’in aksine, dedi. Chromedp, Google Chrome tarayıcısıyla başsız modda etkileşime geçmek için popüler bir Golang kitaplığıdır. Geliştirici Araçları Protokolü.
Kimsuky’nin Ekim 2022’den bu yana saldırılarda AlphaSeed kullandığını ve bazı izinsiz girişlerin bir JavaScript damlatıcısı aracılığıyla hem AppleSeed hem de AlphaSeed’i aynı hedef sisteme dağıttığını gösteren kanıtlar var.
Düşman tarafından ayrıca, etkilenen sistemin kontrolünü ele geçirmek için kullanılabilen TightVNC ve TinyNuke (namı diğer Nuclear Bot) gibi Meterpreter ve VNC kötü amaçlı yazılımları da kullanılıyor.
Gelişme, Nisos’un, Kuzey Kore’nin bilgi teknolojisi (BT) çalışanları tarafından ABD’deki şirketlerden sahtekarlıkla uzaktan istihdam elde etmek ve rejim için gelir getirici bir akış olarak hareket etmek için muhtemelen kullandığı LinkedIn ve GitHub’da bir dizi çevrimiçi kişiyi keşfettiğini söylemesinin ardından geldi. ekonomik ve güvenlik önceliklerinin finansmanına yardımcı olun.
Tehdit istihbarat firması, “Kişilerin genellikle birkaç farklı türde uygulama geliştirme konusunda yetkin olduklarını ve kripto ve blockchain işlemleriyle çalışma deneyimine sahip olduklarını iddia ettiğini” belirtti. söz konusu bu ayın başlarında yayınlanan bir raporda.
“Ayrıca, tüm kişiler teknoloji sektöründe yalnızca uzak pozisyonlar aradılar ve tekil olarak yeni istihdam elde etmeye odaklandılar. Hesapların çoğu, devre dışı bırakılmadan önce yalnızca kısa bir süre için aktif.”
Kuzey Koreli aktörler son yıllarda, fikri mülkiyet ve sanal varlıkların çalınmasını kolaylaştırmak amacıyla blockchain ve kripto para şirketlerini hedef almak için yeni taktikler ve tedarik zinciri zayıflıklarını harmanlayan bir dizi çok yönlü saldırı başlattı.
Saldırıların üretken ve saldırgan doğası, ülkenin uluslararası yaptırımlardan kaçmak ve planlardan yasa dışı kazanç elde etmek için başvurduğu farklı yollara işaret ediyor.
CrowdStrike’dan Adam Meyers, “İnsanlar şöyle düşünme eğiliminde: Alıntı-alıntısız ‘Hermit Kingdom’ siber açıdan nasıl ciddi bir oyuncu olabilir?” söylediği gibi alıntılandı Politico’ya. “Fakat gerçek, gerçeklerden bu kadar uzak olamaz.”
