Kimuky olarak bilinen Kuzey Kore bağlantılı ulus-devlet hackleme grubunun, ForCecopy adlı bir bilgi çalma kötü amaçlı yazılımları sunmak için mızrak aktı saldırıları yürüttüğü gözlendi. Yeni Bulgular Ahnlab Güvenlik İstihbarat Merkezi’nden (ASEC).
Saldırılar, Microsoft Office veya PDF belgesi olarak gizlenmiş bir Windows kısayolu (LNK) dosyası içeren kimlik avı e -postalarıyla başlar.
Bu ekin açılması, harici bir kaynaktan sonraki aşamalı yükleri indirmekten ve çalıştırmaktan sorumlu olan HTML Uygulama (HTA) dosyalarını çalıştırmak için tasarlanmış meşru bir Microsoft ikili olan PowerShell veya MSHTA.EXE’nin yürütülmesini tetikler.
Güney Koreli siber güvenlik şirketi, saldırıların Pebbledash olarak adlandırılan bilinen bir Trojan’ın konuşlandırılmasıyla sonuçlandığını ve açık kaynaklı bir uzak masaüstü yardımcı programının özel bir versiyonunu söyledi. RDP sargısı.
Saldırıların bir parçası olarak, tehdit aktörlerinin RDP aracılığıyla harici bir ağ ile kalıcı iletişim kurmalarını sağlayan bir proxy kötü amaçlı yazılım da sunulur.
Ayrıca, Kissuky, tuş vuruşlarını kaydetmek için PowerShell tabanlı bir keylogger ve web tarayıcısıyla ilgili dizinlerde saklanan dosyaları kopyalamak için kullanılan yeni bir sığınak kötü amaçlı yazılım kullanılarak gözlenmiştir.
ASEC, “Kötü amaçlı yazılımın yüklendiği tüm yollar web tarayıcısı kurulum yollarıdır.” Dedi. “Tehdit oyuncusunun belirli bir ortamda kısıtlamaları atlamaya ve kimlik bilgilerinin depolandığı web tarayıcılarının yapılandırma dosyalarını çalmaya çalıştığı varsayılıyor.”
Enfekte ana bilgisayarları komuta etmek için RDP sargısı ve vekillerinin kullanımı, tarihsel olarak bu amaç için ısmarlama arka kapıları kullanan Kimuky için taktiksel bir değişime işaret ediyor.
APT43, Black Banshee, Emerald Squet, Köpüklü Balık, Springtail, TA427 ve Velvet Chollima olarak da adlandırılan tehdit oyuncusu, Kuzey Kore’nin birincil dış istihbarat hizmeti Keşif Genel Bürosu (RGB) ile ilişkili olduğu değerlendiriliyor.
En az 2012’den beri aktif olan Kimusky, e -posta güvenlik korumalarını atlayabilen özel sosyal mühendislik saldırılarını düzenleme konusunda bir geçmişe sahiptir. Aralık 2024’te, siber güvenlik şirketi kuvvetleri, hack mürettebatının kimlik hırsızlığı yapmak için Rus hizmetlerinden kaynaklanan kimlik avı mesajları gönderdiğini açıkladı.
