Kimsuky Hackerları Son Saldırılarda AppleSeed, Meterpreter ve TinyNuke'u Dağıtıyor
Kuzey Kore'ye bağlı ulus devlet aktörlerinin, güvenliği ihlal edilmiş makinelerin kontrolünü ele geçirmek için AppleSeed, Meterpreter ve TinyNuke gibi çeşitli arka kapılar ve araçlar sunmak için hedef odaklı kimlik avı saldırıları kullandığı gözlemlendi.
Güney Kore merkezli siber güvenlik şirketi AhnLab, etkinliği Kimsuky olarak bilinen gelişmiş bir kalıcı tehdit grubuna bağladı.
AhnLab Güvenlik Acil Durum Müdahale Merkezi (ASEC) Perşembe günü yayınlanan bir analizde, "AppleSeed kullanan saldırılarla ilgili dikkate değer bir nokta, benzer saldırı yöntemlerinin birlikte kullanılan kötü amaçlı yazılımlarda önemli bir değişiklik yapılmadan uzun yıllardır kullanılmasıdır" dedi.
On yılı aşkın bir süredir aktif olan Kimsuky, 2017'de odağını diğer coğrafyaları da kapsayacak şekilde genişletmeden önce Güney Kore'de çok çeşitli kuruluşları hedeflemesiyle tanınıyor. Kuzey Kore'nin stratejik hedeflerini desteklemek için istihbarat topladığı için geçen ayın sonlarında ABD hükümeti tarafından yaptırım uygulandı.
Tehdit aktörünün casusluk kampanyaları, açıldıktan sonra çeşitli kötü amaçlı yazılım ailelerinin konuşlandırılmasıyla sonuçlanan kötü amaçlı cezbedici belgeler içeren hedef odaklı kimlik avı saldırıları yoluyla gerçekleştirilir.
Kimsuky tarafından kullanılan bu tür önde gelen Windows tabanlı arka kapılardan biri, Mayıs 2019 gibi erken bir tarihte kullanıma sunulan ve bir Android sürümünün yanı sıra Golang'da yazılmış AlphaSeed adlı yeni bir varyantla güncellenen bir DLL kötü amaçlı yazılımı olan AppleSeed'dir (diğer adıyla JamBog).
AppleSeed, aktörler tarafından kontrol edilen bir sunucudan yönergeler almak, ek yükler bırakmak ve dosyalar, tuş vuruşları ve ekran görüntüleri gibi hassas verileri sızdırmak için tasarlanmıştır. AlphaSeed, AppleSeed gibi, benzer özellikler içerir ancak bazı önemli farklılıkları da vardır.
ASEC, HTTP veya SMTP protokollerine dayanan AppleSeed'in aksine, "AlphaSeed, Golang'da geliştirildi ve [komut ve kontrol] sunucusuyla iletişim için chromedp kullanıyor" dedi. Chromedp, DevTools Protokolü aracılığıyla Google Chrome tarayıcısıyla başsız modda etkileşim kurmak için popüler bir Golang kitaplığıdır.
Kimsuky'nin Ekim 2022'den bu yana saldırılarda AlphaSeed'i kullandığını ve bazı izinsiz girişlerin bir JavaScript damlalığı aracılığıyla aynı hedef sistemde hem AppleSeed hem de AlphaSeed'i dağıttığını gösteren kanıtlar var.
Düşman tarafından ayrıca, etkilenen sistemin kontrolünü ele geçirmek için kullanılabilecek TightVNC ve TinyNuke (diğer adıyla Nuclear Bot) gibi Meterpreter ve VNC kötü amaçlı yazılımları da konuşlandırılır.
Gelişme, Nisos'un LinkedIn ve GitHub'da, muhtemelen Kuzey Kore'nin bilgi teknolojisi (BT) çalışanları tarafından ABD'deki şirketlerden hileli bir şekilde uzaktan istihdam elde etmek ve rejim için gelir getirici bir akış olarak hareket etmek ve ekonomik ve güvenlik önceliklerini finanse etmeye yardımcı olmak için kullanılan bir dizi çevrimiçi kişi keşfettiğini söyledi.
Tehdit istihbarat firması, bu ayın başlarında yayınlanan bir raporda, "Kişiler genellikle birkaç farklı türde uygulama geliştirme konusunda yetkin olduklarını ve kripto ve blok zinciri işlemleriyle çalışma deneyimine sahip olduklarını iddia ettiler" dedi.
"Ayrıca, tüm kişiler teknoloji sektöründe yalnızca uzaktan pozisyonlar aradılar ve tekil olarak yeni iş bulmaya odaklandılar. Hesapların çoğu, devre dışı bırakılmadan önce yalnızca kısa bir süre için aktiftir."
Kuzey Koreli aktörler, son yıllarda, fikri mülkiyet ve sanal varlıkların çalınmasını kolaylaştırmak için blok zinciri ve kripto para birimi firmalarını hedef almak için yeni taktikler ve tedarik zinciri zayıflıklarını harmanlayan bir dizi çok yönlü saldırı başlattılar.
Saldırıların üretken ve saldırgan doğası, ülkenin uluslararası yaptırımlardan kaçınmak ve planlardan yasadışı bir şekilde kâr elde etmek için başvurduğu farklı yollara işaret ediyor.
"İnsanlar düşünmeye meyillidir, ... CrowdStrike'tan Adam Meyers'in Politico'ya söylediği gibi, alıntı yapılmayan 'Hermit Kingdom' siber açıdan nasıl ciddi bir oyuncu olabilir?". "Ama gerçek, gerçeklerden daha fazla olamazdı."
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı