Japonya'nın Bilgisayar Acil Müdahale Ekibi Koordinasyon Merkezi (JPCERT/CC), Japon örgütlerinin Kuzey Kore 'Kimuky' tehdit aktörlerinin saldırılarını hedef aldığını uyarıyor.
ABD hükümeti, Kimuky'yi Kuzey Kore hükümetine ilgi duyduğu konularda istihbarat toplamak için dünya çapında hedeflere karşı saldırılar yürüten Kuzey Koreli İleri Dikkatli Tehdit (APT) grubu olarak atfetti.
Tehdit aktörlerinin ağlara ilk erişim elde etmek için sosyal mühendislik ve kimlik avı kullandıkları bilinmektedir. Daha sonra verileri çalmak ve ağlarda kalıcılığı korumak için özel kötü amaçlı yazılımlar dağıtırlar.
Japonya, bu yılın başlarında Kimuky saldırılarının tespit edildiğini ve atıfın, iki ayrı raporda Ahnlab Güvenlik İstihbarat Merkezi (ASEC) tarafından paylaşılan uzlaşma göstergelerine (IOCS) dayandığını söyledi (1, 2).
JPCert, "JPCert/CC, Mart 2024'te Kimuky adlı bir saldırı grubu tarafından Japon organizasyonlarını hedefleyen saldırı faaliyetlerini doğruladı."
Saldırganlar saldırılarına, güvenlik ve diplomatik organizasyonları Japonya'daki hedeflere yönlendiren kimlik avı e -postaları göndererek kötü niyetli bir fermuar eki taşıyarak başlıyor.
ZIP, kötü amaçlı yazılım enfeksiyonuna ve iki tuzak belge dosyasına yol açan bir yürütülebilir ürün içerir. Yürütülebilir dosya adı, ".exe" kısmını gizleyerek belge olarak görünmek için birçok boşluk kullanır.
Mağdur tarafından yürütüldüğünde, yük bir VBS dosyasını indirir ve yürütür ve ayrıca WScript aracılığıyla otomatik olarak başlayacak 'C: \ Users \ public \ pictures \ desktop.ini.bak' yapılandırır.
VBS dosyası, işlem listeleri, ağ ayrıntıları, klasörlerden dosya listeleri (indirmeler, belgeler, masaüstü) ve kullanıcı hesabı bilgileri gibi bilgileri toplamak için bir PowerShell komut dosyası indirir. Bu bilgiler daha sonra saldırganların kontrolü altında uzak bir URL'ye gönderilir.
Toplanan bu bilgi, Kimsuky'nin enfekte olmuş cihazın meşru bir kullanıcı makinesi mi yoksa bir analiz ortamı olup olmadığını belirlemesine yardımcı olur.
Son olarak, daha sonra saldırganlara gönderilen tuş vuruşlarını ve pano bilgilerini günlüklendiren bir PowerShell komut dosyası indirmek için yeni bir VBS dosyası oluşturulur ve yürütülür.
Keylogger tarafından toplanan bilgiler, tehdit aktörlerinin kuruluşun sistemlerine ve uygulamalarına daha fazla yayılmasına izin veren kimlik bilgilerini içerebilir.
Mayıs 2024'te ASEC, Kimuky'nin Kore'de bir CHM kötü amaçlı yazılım suşu dağıttığını keşfetti. Kötü amaçlı yazılım daha önce LNK, DOC ve OneNote dahil olmak üzere çeşitli formatlarda yayılmıştı.
Saldırı akışı, arka planda aynı anda kötü amaçlı bir komut dosyası çalıştırırken bir yardım ekranı görüntüleyen derlenmiş bir HTML Yardım (CHM) dosyasının yürütülmesini içerir.
Bu komut dosyası, kullanıcının profil yolunda bir dosya oluşturur ve yürütür. Dosya daha sonra ek kötü amaçlı temel 64 kodlu komut dosyalarını yürütmek için harici bir URL'ye bağlanır.
Bu komut dosyaları, kullanıcı bilgilerinin eksfiltratını, hizmet olarak kötü amaçlı bir komut dosyasının oluşturmak ve kaydetmekten ve anahtarlık yapmaktan sorumludur.
Geçmiş varyantlarla karşılaştırıldığında, ASEC analistleri tarafından görülen en son kötü amaçlı yazılım örnekleri, tespitten kaçınmak için daha sofistike bir şaşkınlık kullanır.
Japonya'da tespit edilen Kimuky etkinliği göz önüne alındığında, ülkenin sertifikası, kuruluşların kötü amaçlı yazılım sunmak için tasarlanmış yürütülebilir komut dosyaları içerebilen CHM dosyalarına karşı uyanık olma ihtiyacının altını çiziyor.
Kimuky Hacker'ları Güney Kore'ye yapılan saldırılarda yeni Linux arka kapı kullandı
Vipersoftx kötü amaçlı yazılım, otomatik komut dosyası kullanarak PowerShell'i çalıştırıyor
Bu yaz bu yaz bu PowerShell eğitiminden 63 $ ile otomatikleştirin
Sahte BT Destek Siteleri Windows düzeltmeleri olarak kötü niyetli PowerShell komut dosyalarını itin
Coinstats, Kuzey Koreli hackerların 1.590 kripto cüzdanını ihlal ettiğini söylüyor
Kaynak: Bleeping Computer