Siber Muhbir

AhnLab Güvenlik Acil Durum Müdahale Merkezi (ASEC) geçen hafta yayınlanan bir analizde, "Tehdit aktörü nihayetinde bilgi çalmak ve komutları yürütmek için bir arka kapı kullanıyor" dedi.

Saldırı zincirleri, aslında gizlenmiş bir PowerShell betiği, Base64 ile kodlanmış bir yük ve sahte bir PDF belgesi içeren kötü amaçlı bir JSE dosyası olan bir ithalat beyanı cazibesiyle başlar.

Bir sonraki aşama, bir oyalama taktiği olarak PDF dosyasının açılmasını gerektirirken, PowerShell betiği arka kapıyı başlatmak için arka planda yürütülür.

Kötü amaçlı yazılım, ağ bilgilerini ve diğer ilgili verileri (yani ana bilgisayar adı, kullanıcı adı ve işletim sistemi sürümü) toplayacak ve kodlanmış ayrıntıları uzak bir sunucuya iletecek şekilde yapılandırılmıştır.

Ayrıca komutları çalıştırabilir, ek yükler yürütebilir ve kendini sonlandırarak virüslü ana bilgisayara uzaktan erişim için bir arka kapıya dönüştürebilir.

En az 2012'den beri aktif olan Kimsuky, mağduriyet ayak izini Avrupa, Rusya ve ABD'yi kapsayacak şekilde genişletmeden önce Güney Kore devlet kurumlarını, düşünce kuruluşlarını ve çeşitli alanlarda uzman olarak tanımlanan bireyleri hedef almaya başladı.

Bu ayın başlarında, ABD Hazine Bakanlığı, jeopolitik olaylar, dış politika ve diplomatik çabalar da dahil olmak üzere Kuzey Kore'nin stratejik hedeflerini desteklemek için istihbarat topladığı için Kimsuky'ye yaptırım uyguladı.

Siber güvenlik firması ThreatMon yakın tarihli bir raporda, "Kimsuky, istihbarat toplama faaliyetlerini Kore yarımadası, nükleer politika ve yaptırımlarla ilgili dış politika ve ulusal güvenlik konularına odakladı" dedi.

Devlet destekli grubun, tıklandığında, Google Drive'dan bulut depolamayı veri hırsızlığı ve komuta ve kontrol (C2) için bir kanal olarak kullanan kötü amaçlı bir VBScript dağıtmak için Chrome tarayıcısı için bir güncelleme gibi görünen sahte bir ZIP arşivi indiren bubi tuzaklı URL'lerden yararlandığı da gözlemlendi.

Lazarus Group Telegram'da Kimlik Avı Yapıyor

Gelişme, blockchain güvenlik şirketi SlowMist'in, Telegram'da kripto para birimi sektörünü hedef alan yaygın bir kimlik avı kampanyasına Lazarus Group adlı kötü şöhretli Kuzey Kore destekli ekibi dahil etmesiyle geldi.

Singapur merkezli firma, "Daha yakın zamanlarda, bu bilgisayar korsanları, çeşitli kripto para birimi proje ekiplerine karşı kimlik avı dolandırıcılığı yürütmek için saygın yatırım kurumları gibi davranarak taktiklerini artırdılar" dedi.

Yakınlık kurulduktan sonra hedefler, kripto hırsızlığını kolaylaştıran bir çevrimiçi toplantı bağlantısını paylaşma kisvesi altında kötü amaçlı bir komut dosyası indirmeleri için kandırılır.

Ayrıca, Seul Büyükşehir Polis Teşkilatı'nın (SMPA) Andariel kod adlı Lazarus alt kümesini yerel savunma şirketlerinden uçaksavar silah sistemleri hakkında teknik bilgi çalmak ve fidye yazılımı gelirlerini Kuzey Kore'ye geri aklamakla suçlayan bir raporu da takip ediyor.

Saldırılarda 1,2 terabayt tutarında 250'den fazla dosyanın çalındığı tahmin ediliyor. İzleri örtbas etmek için, düşmanın giriş noktası olarak "kimliği belirsiz abonelere sunucu kiralayan" yerel bir şirketin sunucularını kullandığı söyleniyor.

Buna ek olarak grup, fidye yazılımı saldırılarında üç Güney Koreli firmadan 470 milyon won (356.000 $) değerinde bitcoin gasp etti ve bunları Bithumb ve Binance gibi sanal varlık borsaları aracılığıyla akladı. Andariel'in geçmişte Maui fidye yazılımının dağıtımıyla bağlantılı olduğunu belirtmekte fayda var.