Kuzey Kore ile bağları olan bir ulus-devlet tehdit oyuncusu, Güney Kore işini, hükümet ve kripto para sektörlerini hedefleyen devam eden bir kampanyayla bağlantılıdır.
Saldırı kampanyası, dublaj Derin#Sürücü Securonix tarafından, APT43, Black Banshee, Emerald Squet, Farkling Balık, Springtail, TA427 ve Velvet Chollima adları altında izlenen Kimuky olarak bilinen bir hack grubuna atfedildi.
Güvenlik araştırmacıları Den Iuzvyk ve Tim Peck, “Korece yazılmış ve meşru belgeler olarak gizlenmiş özel kimlik avı yemlerinden yararlanan saldırganlar, hedefli ortamlara başarılı bir şekilde sızdı.” söz konusu Hacker News ile paylaşılan bir raporda, etkinliği “sofistike ve çok aşamalı bir operasyon” olarak nitelendiriyor.
Kimlik avı e-postaları aracılığıyla .hwp, .xlsx ve .pptx dosyaları olarak gönderilen tuzak belgeleri, alıcıları açmak için kandırmak için iş günlükleri, sigorta belgeleri ve kripto ile ilişkili dosyalar olarak gizlenir ve böylece enfeksiyon sürecini tetikler.
Saldırı zinciri, yük teslimi, keşif ve infaz da dahil olmak üzere çeşitli aşamalarda PowerShell senaryolarına olan ağır güveniyle dikkat çekicidir. Ayrıca, yük dağıtım ve veri eksfiltrasyonu için Dropbox kullanımı ile de karakterize edilir.
Her şey, çıkarıldığında ve başlatıldığında, Dropbox’ta barındırılan bir cazibe belgesini almak ve görüntülemek için PowerShell kodunun yürütülmesini tetikleyen meşru bir belge olarak maskelenen tek bir Windows kısayolu (.lnk) dosyası içeren bir fermuarlı arşiv ile başlar, “ChromeUpdatetaskmachine” adlı planlanmış bir görev aracılığıyla Windows ana bilgisayarında kalıcılık oluşturmak.
Korece yazılmış böyle bir cazibe belgesi, bir lojistik tesisinde forklift operasyonları için bir güvenlik çalışma planı ile ilgilidir, ağır yükün güvenli bir şekilde kullanılması ve işyeri güvenlik standartlarına uyumu sağlamak için yolları özetlemektedir.
PowerShell komut dosyası, sistem bilgilerini toplamak ve püskürtmekten sorumlu başka bir PowerShell komut dosyası almak için aynı Dropbox konumuyla iletişime geçecek şekilde tasarlanmıştır. Ayrıca, sonuçta bilinmeyen bir .NET montajı yürütmekten sorumlu üçüncü bir PowerShell betiği bırakır.
Araştırmacılar, “Dropbox API etkileşimleri için OAuth jeton tabanlı kimlik doğrulamanın kullanılması, sistem bilgileri ve aktif işlemler gibi keşif verilerinin önceden belirlenmiş klasörlere sorunsuz bir şekilde pesfiltrasyonunu sağladı.” Dedi.
“Bu bulut tabanlı altyapı, geleneksel IP veya alan blok listelerini atlayarak yükleri barındırma ve almak için etkili ama gizli bir yöntem gösterir. Ayrıca, altyapı, anahtar bağlantılarının ilk aşamalarından sonra hızlı bir şekilde kaldırılmasıyla kanıtlandığı gibi dinamik ve kısa ömürlü göründü. Saldırı, sadece analizi karmaşıklaştırmakla kalmaz, aynı zamanda saldırganların operasyonel güvenlik kampanyalarını aktif olarak izlemesini önerir. “
Securonix, tehdit oyuncunun altyapısına ek bilgiler elde etmek için OAuth jetonlarından yararlanabildiğini ve kampanyanın geçen yıl Eylül ayından bu yana devam edebileceğine dair kanıt bulduğunu söyledi.
Araştırmacılar, “Eksik son aşamaya rağmen, analiz, saldırganın tespitten kaçınma ve olay tepkisini karmaşıklaştırma niyetini gösteren gizlilik, gizli yürütme ve dinamik dosya işlemesi de dahil olmak üzere kullanılan sofistike teknikleri vurgulamaktadır.”
