Kuzey Kore bağlantılı tehdit aktörü Kimsuky’nin, istihbarat toplama amacıyla üniversite personelini, araştırmacıları ve profesörleri hedef alan yeni bir dizi saldırıyla ilişkilendirildiği bildirildi.
Siber güvenlik firması Resilience söz konusu Temmuz 2024 sonlarında, bilgisayar korsanlarının yaptığı bir operasyon güvenliği (OPSEC) hatasını gözlemledikten sonra faaliyeti tespit etti.
APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail ve Velvet Chollima isimleriyle de bilinen Kimsuky, Kuzey Kore hükümeti ve ordusunun yönetimi altında faaliyet gösteren çok sayıda saldırgan siber ekipten sadece biri.
Ayrıca oldukça aktiftir ve sıklıkla, keşif yapmak, veri çalmak ve enfekte olmuş ana bilgisayarlara kalıcı uzaktan erişim sağlamak için sürekli genişleyen bir özel araç seti sunmak amacıyla başlangıç noktası olarak hedefli kimlik avı kampanyalarından yararlanır.
Saldırılar ayrıca, Green Dinosaur web kabuğunun gizlenmiş bir sürümünü dağıtmak için aşama altyapısı olarak tehlikeye atılmış ana bilgisayarların kullanılmasıyla da karakterize edilir ve daha sonra bu sürüm dosya işlemlerini gerçekleştirmek için kullanılır. Kimuksy’nin web kabuğunu kullanımı daha önce vurgulanmış Güvenlik araştırmacısı blackorbird tarafından Mayıs 2024’te.
Green Dinosaur’un sağladığı erişim, daha sonra Naver ve Dongduk Üniversitesi, Kore Üniversitesi ve Yonsei Üniversitesi gibi çeşitli üniversitelerin meşru giriş portallarını taklit etmek üzere tasarlanmış önceden oluşturulmuş kimlik avı sayfalarını yüklemek için kötüye kullanılıyor ve amaç bu üniversitelerin kimlik bilgilerini ele geçirmek.
Daha sonra kurbanlar, Google Drive’da barındırılan ve Asan Politika Çalışmaları Enstitüsü Ağustos Forumu’na davet gibi görünen bir PDF belgesine yönlendiren başka bir siteye yönlendiriliyor.
Resilience araştırmacıları, “Ayrıca Kimsuky’nin kimlik avı sitelerinde, Naver hesaplarını toplamak için hedef odaklı olmayan bir kimlik avı araç seti bulunuyor” dedi.
“Bu araç seti, ziyaretçilerden çerezleri ve kimlik bilgilerini çalmak için Evilginx’e benzer ilkel bir proxy’dir ve kullanıcılara sunucuyla iletişimin kesildiği için tekrar oturum açmaları gerektiğini söyleyen açılır pencereler gösterir.”
Analiz ayrıca bir özel duruma da ışık tuttu PHPMailer Kimsuky’nin kullandığı SendMail adlı araç, Gmail ve Daum Mail hesaplarını kullanan hedeflere kimlik avı e-postaları göndermek için kullanılıyor.
Tehditlerle mücadele etmek için kullanıcıların kimlik avına dayanıklı çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmeleri ve oturum açmadan önce URL’leri incelemeleri önerilir.
