APT37 olarak bilinen Kuzey Kore devlet destekli bilgisayar korsanları, DPRK'da bir roman kötü amaçlı yazılım suşu ile uzmanlaşmış gazetecilerin hedeflenmesi keşfedildi.
Kötü amaçlı yazılım, ilk önce NK News, Haberleri kapsayan bir Amerikan haber sitesi olan ve Kuzey Kore hakkında araştırma ve analiz sağlayan, ülke içinde zeka kullanarak araştırma ve analizler sunan bir phishing saldırısı ile dağıtılmaktadır.
APT37 Hacking Grubu, yani Ricochet Chollima'nın, haber raporunu düşmanca bir operasyon olarak gören ve bu saldırıyı son derece hassas bilgilere erişmek ve gazetecilerin kaynaklarını potansiyel olarak tanımlamak için bu saldırıyı kullanmaya çalışan Kuzey Kore hükümeti tarafından desteklendiğine inanılıyor.
NK News saldırıyı keşfettikten sonra, teknik analizi devralan daha fazla yardım için Stairway'deki kötü amaçlı yazılım uzmanlarıyla temasa geçtiler.
Strairwell, "Bluelight" halefi olarak değerlendirilen "Goldbackdoor" adlı yeni bir kötü amaçlı yazılım örnek buldu.
Bunun ilk kez APT37'nin gazetecileri hedefleyen kötü amaçlı yazılım kampanyalarıyla bağlantılı olmadığını ve en sonuncusu, son derece müşterisi olan “Chinotto” arka kapısını kullanan bir Rapor olarak belirtilmeye değer.
Kimlik avı e-postaları, daha önce tehlikeye giren APT37 olan Güney Kore'nin eski Müdürü (NIS) 'nın eski direktöründen kaynaklanmaktadır.
Hedeflenen kampanya, tehdit aktörlerine daha fazla dağıtım çok yönlülüğü olan ve analistlerin numune yükleri için zorlaştıran iki aşamalı bir enfeksiyon sürecini kullandı.
Gazetecilere gönderilen e-postalar, her ikisi de 'Kang Min-Chol Edits' adlı LNK dosyaları olan ZIP arşivlerini indirmek için bir bağlantı içerdi. Kang Min-Chol, Kuzey Kore Madencilik Endüstrileri Bakanıdır.
LNK dosyası (Windows kısayol) bir belge simgesi ile maskelenir ve boyutunu 282.7 MB'ye artırmak için dolgu kullanır ve virüs toplamına ve diğer çevrimiçi algılama araçlarına kolay yüklemeleri engeller.
Yürütüldükten sonra, bir PowerShell komut dosyası, arka planda ikinci bir komut dosyasını çözerken distraksiyon için bir DECOY belgesi (DOC) (DOC) başlatır ve açar.
Tuzak belgesi, Heroku platformunda barındırılan ve belge görüntülendiğinde tehdit aktörlerini uyaran gömülü bir harici görüntü içeriyordu.
İkinci komut dosyası, AV uyarıları oluşturma olasılığı düşük olan meşru bir bulut tabanlı dosya barındırma hizmeti olan Microsoft OneDrive'da depolanan bir Shellcode yükünü indirir ve yürütür.
Bu yükün "fantezi" olarak adlandırılır ve merdiven boşluğuna göre, GoldbackDoor'un iki dağıtım mekanizması, hem gizli işlem enjeksiyonuna dayanıyor.
GoldbackDoor bir PE dosyası (taşınabilir yürütülebilir) olarak yürütülür ve temel komutları uzaktan kabul edebilir ve verileri dışarı atabilir.
Bunun için, Azure'a doğrulamak ve yürütme komutlarını almak için kimlik doğrulaması yapmak için kullandığı bir dizi API tuşu ile birlikte gelir. Bu komutlar Keylogging, Dosya İşlemleri, Temel RCE ve kendini kaldırma yeteneği ile ilgilidir.
Kötü amaçlı yazılım, Dosyaların Pessfiltrasyonu için meşru bulut hizmetleri kullanır ve merdiven boşluğu hem Google Drive hem de Microsoft OneDrive'ın kötüye kullanılmasını fark eder.
GoldbackDoor tarafından hedeflenen dosyalar esas olarak PDF, DOCX, MP3, TXT, M4A, JPC, XLS, PPT, BIN, 3GP ve MSG gibi belgeler ve medyadır.
Bu, oldukça hedefli bir kampanyayken, keşif, maruz kalma ve sonuçlanan algılama kuralları ve STAIRWELL'in teknik raporunda mevcut olan dosya karları, InfoSec topluluğu için hala önemlidir.
ABD'nin Kuzey Koreli Hacker'da Rehberlik Sorunları, 5 milyon dolarlık ödül sunuyor
Ethereum Dev Kuzey Kore'nin yaptırımlarına yardım ettiği için hapsedildi
Microsoft: Ukrayna, istiladan önce Foxblade kötü amaçlı yazılımlarla vuruldu
Emotet Malware, kırık yükleyiciyi tamir ettikten sonra kullanıcılara tekrar enfekte
Yeni Güçlü Prynt Stiler Malware aylık 100 $ için satıyor
Kaynak: Bleeping Computer