Kuzey Koreli Kimuky Hacking Grubu, küresel bir erişime sahip bir siber sorumluluk kampanyasında şimdi 'Reconshark' olarak adlandırılan keşif kötü amaçlı yazılımının yeni bir versiyonunu kullandığı gözlemlendi.
Sentinel Labs, tehdit oyuncunun hedefleme kapsamını genişlettiğini, şimdi devlet kuruluşlarını, araştırma merkezlerini, üniversiteleri ve ABD, Avrupa ve Asya'daki düşünce kuruluşlarını hedef alan hedefleme kapsamını genişlettiğini bildiriyor.
Mart 2023'te, Güney Koreli ve Alman yetkililer, Tallium ve Velvet Chollima olarak da bilinen Kimuky'nin Gmail hesaplarını hedefleyen kötü niyetli krom uzantıları ve uzaktan erişim Trojan olarak hizmet veren bir Android casus yazılımları yaymaya başladığı konusunda uyardı.
Daha önce, Ağustos 2022'de Kaspersky, Güney Kore'deki politikacıları, diplomatları, üniversite profesörlerini ve gazetecileri hedefleyen başka bir Kimuky kampanyası açıkladı ve sadece geçerli hedeflerin kötü niyetli yüklerle enfekte olmasını sağlayan çok aşamalı bir hedef doğrulama planı kullandı.
Kimuky, hedeflerini, tehdit grubunun önceki tüm kampanyalarında görülen bir taktik olan Reconshark kötü amaçlı yazılımıyla enfekte etmek için iyi hazırlanmış ve kişiselleştirilmiş mızrak aktı e-postalarından yararlanır.
Bu e-postalar, e-posta güvenlik araçlarında herhangi bir alarm verme şansını en aza indirmek için Microsoft OneDrive'da barındırılan kötü amaçlı şifre korumalı bir belgeye bağlantı içerir.
Hedef indirilen belgeyi açtığında ve talimat verildiği gibi makroları etkinleştirdiğinde, gömülü Reconshark kötü amaçlı yazılım etkinleştirilir.
Microsoft, indirilen ofis belgelerinde varsayılan olarak makroları devre dışı bıraktıktan sonra, çoğu tehdit aktörleri ISO dosyaları ve daha yakın zamanda OneNote belgeleri gibi kimlik avı saldırıları için yeni dosya türlerine geçti.
Sentinellabs Sr. Tehdit Araştırmacısı Tom Hegel, "Saldırganlar muhtemelen ofislerin modası geçmiş sürümlerine veya sadece makroları etkinleştiren kullanıcılara karşı kolay kazançlar arıyor." Dedi.
"Kimuky burada çok yenilikçi değil - özellikle hala Babyshark kötü amaçlı yazılım ailesini geliştirdikleri için."
Reconshark, Sentinel Labs analistleri tarafından, ABD örgütlerini hedefleyen örtüşen bir Kuzey Kore siber yemek grubu olan APT43 tarafından konuşlandırıldığı görülen Kimuky'nin 'Babyshark' kötü amaçlı yazılımının evrimi olarak kabul ediliyor.
ReconShark, WMI'yı çalışan sistemler hakkında çalışma işlemleri, pil verileri vb.
Ayrıca, güvenlik yazılımının makinede çalışıp çalışmadığını kontrol eder, Sentinel laboratuvarları Kaspersky, Malwarebytes, Trend Micro ve Norton Güvenlik Ürünleri için belirli kontrollerden bahseder.
Keşif verilerinin eksfiltrasyonu doğrudandır, kötü amaçlı yazılımlar yerel olarak hiçbir şey saklamadan HTTP posta istekleri aracılığıyla C2 sunucusuna her şeyi gönderir.
"ReconShark'ın konuşlandırılmış tespit mekanizmaları ve donanım bilgileri gibi değerli bilgileri ekspiltratlama yeteneği, ReconShark'ın, daha sonraki hassas saldırıları sağlayan, daha sonraki hassas saldırılara izin veren bir kimsuky-orcheSestrated keşif operasyonunun bir parçası olduğunu gösterir. "Sentinelone uyardı.
Reconshark'ın bir başka özelliği de, Kimsuky'ye enfekte olmuş sistemde daha iyi bir dayanak sağlayabilen C2'den ek yükler almaktır.
Sentinel Labs Report'u, "Bilgileri püskürtme bilgilerine ek olarak, ReconShark, komut dosyaları (VBS, HTA ve Windows partisi), makro özellikli Microsoft Office şablonları veya Windows DLL dosyaları olarak uygulanan çok aşamalı bir şekilde daha fazla yükü dağıtıyor." .
"Reconshark, enfekte makinelerde hangi algılama mekanizması işlemlerinin çalıştığına bağlı olarak hangi yüklerin dağıtılacağına karar verir."
Yük dağıtım aşaması, kullanıcı bu uygulamalardan birini başlattığında kötü amaçlı yazılımları yürütmek için Chrome, Outlook, Firefox veya Edge gibi popüler uygulamalarla ilişkili Windows kısayol dosyalarını (LNK) düzenlemeyi içerir.
Alternatif bir yöntem, kullanıcı Microsoft Word'i başlattığında kötü amaçlı kod yüklemek için C2 sunucusunda barındırılan kötü amaçlı bir sürümle varsayılan Microsoft Office şablonunu değiştirmektir.
Her iki teknik de, hedeflenen sisteme daha derin sızmak, kalıcılığı korumak ve tehdit oyuncunun çok aşamalı saldırısının bir parçası olarak ek yükler veya komutlar yürütmek için gizli bir yol sunar.
Kimuky'nin sofistike ve şekil değiştiren taktikler, operasyonunu daha geniş kampanyalar yapan ve artan uyanıklık çağrısında bulunan diğer Kuzey Kore gruplarından ayıran çizgiyi bulanıklaştırıyor.
Gmail e -postalarını çalmak için krom uzantıları kullanan Kuzey Koreli hackerlar
Güvenlik Araştırmacıları, LinkedIn'de iş teklifleri aracılığıyla yeni kötü amaçlı yazılımlarla hedef aldı
3CX, tedarik zinciri saldırısının arkasındaki Kuzey Koreli bilgisayar korsanlarını onayladı
2018'den beri yeni maruz kalan apt43 hackleme grubu bizi orgs hedefliyor
Kış Vivern APT Hacker'ları kötü amaçlı yazılım yüklemek için sahte antivirüs taramaları kullanır
Kaynak: Bleeping Computer