Kuzey Kore bağlantılı tehdit grubu Kimsuky, meşru bulut hizmetlerini kötüye kullanan ve Güney Koreli kuruluşlara karşı siber casusluk ve mali suçlar gerçekleştirmek için kaçamak amaçlı kötü amaçlı yazılımlar kullanan daha uzun, sekiz aşamalı bir saldırı zincirini benimsedi.
Gruba atfedilen “DEEP#GOSU” adlı bir kampanyada, siber casusluk operatörleri, çeşitli .NET derlemelerini (meşru kod) kurmak için komutlar kullanarak “toprakla geçinme” stratejisine daha çok odaklandılar. .NET uygulamalarına yönelik bileşenler — Securonix araştırmacıları, saldırganın araç setinin temelini oluşturmak için bugün bir tehdit analizi yazdı.
Kimsuky ayrıca saldırgan operasyonları yürütmek için e-postalara eklenen LNK dosyalarını, Dropbox’tan indirilen komut komut dosyalarını ve PowerShell ve VBScript’te yazılan kodu kullandı.
Tipik siber saldırılarda beş veya daha az aşama kullanılırken DEEP#GOSU kampanyasında sekiz aşama kullanıldı. Securonix’in tehdit araştırmalarından sorumlu başkan yardımcısı Oleg Kolesnikov, bazı araçların antivirüs tarayıcıları ve diğer savunma teknolojileri tarafından tespit edilebilmesine rağmen, saldırganların aktif olarak tespitleri engellemeyi amaçladığını söylüyor.
“Birçok farklı bileşen ve yük vardı ve farklı yük bileşenleri, farklı tarayıcı tespit oranlarına sahipti” diyor. “Saldırganlar, diğerlerinin yanı sıra güvenlik araçlarını kapatmak ve hariç tutmalara yük eklemek de dahil olmak üzere güvenlik aracını kaçırma ve bozma tekniklerini aktif olarak kullandığından, bunu tespit eden tarayıcıların sayısı bu vakayla muhtemelen daha az alakalıydı.”
APT43, Emerald Sleet ve Velvet Chollima olarak da bilinen Kimsuky grubu hızlandı 2023 yılındaki faaliyeti, geleneksel siber casusluğa odaklanmanın yanı sıra kripto para birimine daha fazla odaklanmaya yöneliyor. Kimsuky, ustaca hedef odaklı kimlik avı yapma becerisiyle tanınıyor ve mutlaka teknik gelişmişliği nedeniyle değilancak son saldırı grubun bir şekilde geliştiğini gösterdi. Securonix’teki üç araştırmacı tarafından kaleme alınan analiz.
Üç araştırmacı, analizlerinde “Kötü amaçlı yazılım yükleri… özellikle ağ izleme açısından Windows sistemlerinde gizlice çalışmak üzere tasarlanmış karmaşık, çok aşamalı bir tehdidi temsil ediyor” dedi. “Her aşama AES ve ortak bir şifre kullanılarak şifrelendi ve IV [initialization vector] bu da ağ veya düz dosya tarama tespitlerini en aza indirecektir.”
Güvenlik Kontrollerinden Kaçmak için Dropbox ve Google’ı Kullanmak
Saldırının ilk aşaması, kullanıcının Dropbox’tan PowerShell kodunu indiren bir e-postaya eklenmiş LNK dosyasını açmasıyla gerçekleştirilir. İkinci aşamada yürütülen kod, Dropbox’tan ek komut dosyaları indirir ve tehlikeye atılan sistemi Aşama 3’te uzaktan erişim Truva Atı olan TutClient’ı yüklemeye yönlendirir.
Securonix’in tehdit araştırmacıları analizde, Dropbox ve Google’ın sonraki aşamalarda yoğun kullanımının tespit edilmekten kaçınmaya yardımcı olduğunu belirtti.
“C2 iletişiminin tümü, Dropbox veya Google Dokümanlar gibi meşru hizmetler aracılığıyla gerçekleştiriliyor ve kötü amaçlı yazılımın tespit edilmeden normal ağ trafiğine karışmasına olanak tanıyor” diye yazdılar. “Bu veriler Dropbox gibi uzak kaynaklardan alındığından, kötü amaçlı yazılım bakımcılarının sistemle doğrudan etkileşime girmeden işlevlerini dinamik olarak güncellemelerine veya ek modüller dağıtmalarına olanak tanıdı.”
Saldırının sonraki aşamalarında, sistemlerin izlenmesine ve kontrol edilmesine yardımcı olmak ve kalıcılık sağlamak için birkaç saat içinde rastgele çalıştırılan bir komut dosyası yüklenir. Son aşama, ele geçirilen sistemdeki tuş vuruşlarını günlüğe kaydederek kullanıcı etkinliğini izler.
Çok Aşamalı Saldırılar Savunmayı Derinlemesine Öne Çıkarır
Saldırının ilk aşamalarının tespit oranları, ana bilgisayar tabanlı güvenlik için %5 ila %45 arasında değişirken, Kimsuky tehdit aktörlerinin şifrelenmiş trafik, meşru bulut dosyası kullanması nedeniyle ağ güvenliği platformları, saldırıların sonraki aşamalarını tespit etmekte zorlanabilir. -transfer hizmetleri ve indirilen .NET bileşenleri.
Kolesnikov, çok yönlü saldırının, birden fazla savunma katmanına sahip olmanın faydalarını vurguladığını söylüyor.
Kolesnikov, “Deneyimlerimize göre, bu gibi durumlarda güncel antivirüs yeterli olmayabilir, çünkü sergilenen davranışlar güvenlik araçlarını bozmayı ve bunlardan kaçmayı da içeriyor” diyor. “Bizim önerimiz, kuruluşların yalnızca belirli bir güvenlik aracına güvenmemeleri için derinlemesine savunmadan yararlanmalarıdır.”
Örneğin, e-posta güvenlik ağ geçitlerinin, kilobayt cinsinden ölçülen tipik boyutlarla karşılaştırıldığında, 2,2 MB’lık devasa boyutundan dolayı LNK dosyasını muhtemelen engelleyeceğini söylüyor.
