Güney Koreli araştırmacıları, Özel Backdoor, Gold Ejderhası ile bırakılan emtia açık kaynaklı uzaktan erişim araçlarını içeren KIMSUKY HACKING GRUBU'DAN yeni bir faaliyet dalgası gördü.
Kimsuky, 2017'den bu yana siber-casusluk kampanyalarına aktif olarak dahil olan TA406 olarak da bilinen Kuzey Koreli Devlet Sponsorlu Hacking Grubu'dur.
Grup, etkileyici operasyonel çok yönlülük ve tehdit aktivitesi çoğulculuğu, kötü amaçlı yazılım dağıtım, kimlik avı, veri toplama ve hatta kriptokurans hırsızlığı ile ilgilendirdi.
Analistler tarafından ASEC (Ahnlab) ile tespit edilen en son kampanyada, Kimsuky, Güney Koreli kuruluşlara karşı hedeflenen saldırılarda Xrat'ı kullanıyor. Kampanya 24 Ocak 2022'de başladı ve hala devam ediyor.
XRAT, GitHub'da ücretsiz olarak açık olan açık kaynaklı bir uzaktan erişim ve yönetim aracıdır. Kötü amaçlı yazılım, keyloging, uzak kabuk, dosya yöneticisi eylemleri, ters https proxy, AES-128 iletişimi ve otomatik sosyal mühendislik gibi çeşitli özellikler sunar.
Sofistike bir tehdit aktör emtia sıçanlarını kullanmayı seçebilir, çünkü temel keşif işlemleri için bu araçlar mükemmel bir şekilde yeterlidir ve fazla yapılandırma gerektirmez.
Bu, tehdit aktörlerinin, hedefte bulunan savunma araçlarına / uygulamalarına bağlı olarak daha özel bir işlevsellik gerektiren daha iyi aşamada kötü amaçlı yazılım geliştirme konusunda kaynaklarını odaklamalarına olanak sağlar.
Ayrıca, emtia sıçanları, geniş bir tehdit aktörünün geniş bir yelpazesinden aktiviteye karıştığında, analistlerin kötü niyetli faaliyetleri belirli bir gruba atfetmelerini zorlaştırır.
Gold Ejderha, KIMSUKY'nin tipik olarak, Steganography'den yararlanan bir dosya saldırısından sonra genellikle bir dosya saldırısından sonra dağıtır.
Cyberason'un 2020 raporunda ve Cisco Talos'taki araştırmacılar tarafından 2021 analizinde belgelenmiştir, bu nedenle bu yeni bir kötü amaçlı yazılım değildir.
Bununla birlikte, ASEC'in raporunda açıkladığı gibi, bu son kampanyada gördükleri varyantı, temel sistem bilgilerinin exfiltrasyonu gibi ek fonksiyonlara sahiptir.
Kötü amaçlı yazılım artık bu işlev için sistem işlemlerini kullanmıyor ancak bunun yerine, gerekli bilgileri manuel olarak çalmak için XRAT aracını yükler.
Sıçan, normal bir PowerShell işlemini (PowerShell_ise.exe) "C: \ ProgramData \" yoluna kopyalarken, "C: \ ProgramData \" yoluna (PowerShell_ise.exe) kopyalanan bir çalıştırılabilir olan CP1093.exe'nin kılık değiştirmesi altına girer.
Altın ejderhanın operasyonel yönleri üzerine, IExplore.exe ve SVCHOST.EXE'deki aynı işlem oyuğunu kullanmaya devam ediyor ve Halnlab AV ürünlerinde gerçek zamanlı algılama özelliklerini devre dışı bırakmaya çalışır.
"Saldırgan, Özel Yükleyici (Installer_sk5621.com.co.exe) aracılığıyla altın ejderha kurdu. Yükleyici indirmeleri indiren altın ejderha, saldırganın sunucusundan bir GZIP dosyası şeklinde sıkıştırılmış, "[rastgele 4 numaralar] .tmp" olarak sıkıştırır. - BİR SANİYE.
Daha sonra, Installer, Malware Payload (Glu32.dll) için başlangıç kalıcılığı oluşturmak için yeni bir kayıt defteri anahtarı ekler.
Son olarak, Kimsuky, eğer ve gerektiğinde uzlaşma izlerini silebilecek bir Uninstall_kr5829.co.in.exe (Uninstall_kr5829.co.in.exe) bırakır.
Ahnlab, kullanıcıların, KIMSUKY için kötü amaçlı yazılım dağıtımının ana kanalı olarak kaldığı için, kullanıcıların bilinmeyen kaynaklardan gelen e-postalardaki ekleri açmaktan kaçınmaları gerektiğini öne sürüyor.
Lazarus Hackers Malware'i dağıtmak için Windows Update'i kullanıyor
Alman Govt APT27 Hacker'ların Backdooring Business Network'lerini uyardı
Android Malware BRATA Verileri çaldıktan sonra cihazınızı siler
Kimlik avı, GID MAERSK'yı Strrat Kötü Amaçlı Yazılımları itmek için taşıyın
BluenOroff Hacker'lar Fake MetaMask uzantısını kullanarak kriptoyu çaldı
Kaynak: Bleeping Computer