Durian Kötü Amaçlı Yazılım
Kimsuky Kuzey Koreli tehdit grubu yakın zamanda iki Güney Koreli kripto para birimi şirketini hedef alan belirli siber operasyonlarda Durian adlı yeni Golang tabanlı bir kötü amaçlı yazılımdan yararlandı. Durian, kapsamlı arka kapı özelliklerine sahip, komutları yürütmesine, dosyaları indirmesine ve güvenliği ihlal edilmiş sistemlerden veri toplamasına olanak tanıyan gelişmiş bir kötü amaçlı yazılımdır.
İçindekiler
Durian Kötü Amaçlı Yazılımının Dağıtımı için Enfeksiyon Vektörü
Olaylar Ağustos ve Kasım 2023'te gerçekleşti ve Güney Kore'ye özel meşru yazılımın bir enfeksiyon yöntemi olarak kullanılmasını içeriyordu. Bu yazılımdan yararlanmak için kullanılan özel yöntem henüz araştırmacılar tarafından tam olarak ortaya çıkarılmadı.
Anlaşılan, bu yazılımın saldırganın sunucusuyla iletişim kurduğu ve daha sonra bulaşma sürecini başlatmak için güvenli olmayan bir veriyi aldığıdır. İlk aşama, daha fazla kötü amaçlı yazılım için yükleyici görevi görür ve etkilenen ana bilgisayarda kalıcılık sağlar. Ayrıca, sonuçta Durian'ın yürütülmesini tetikleyen bir yükleyici kötü amaçlı yazılımın dağıtımını da kolaylaştırır.
Saldırganların Durian'ın Yanında Kullandığı Ek Kötü Amaçlı Yazılımlar
Saldırganlar, LazyLoad adlı özel bir proxy aracı olan AppleSeed (Kimsuky'nin tercih ettiği arka kapı) ve ngrok ve Chrome Uzaktan Masaüstü gibi meşru araçların da aralarında bulunduğu ek kötü amaçlı yazılımları dağıtmak için Durian'ı kullanıyor. Amaç, çerezler ve oturum açma kimlik bilgileri gibi tarayıcıda saklanan verileri çalmaktı.
Saldırıdaki ilginç nokta, daha önce Lazarus Grubunun bir alt grubu olan Andariel ile ilişkilendirilen LazyLoad'un kullanılmasıdır. Bu, bu tehdit aktörleri arasında potansiyel bir işbirliği veya taktiksel uyum olduğunu gösteriyor.
Kimsuky Siber Suç Sahnesinde Önemli Bir Oyuncu Olmaya Devam Ediyor
En az 2012'den beri aktif olan Kimsuky grubu aynı zamanda APT43, Black Banshee, Emerald Sleet (eski adıyla Thallium), Springtail, TA427 ve Velvet Chollima gibi çeşitli takma adlarla da biliniyor. Kuzey Kore'nin en üst askeri istihbarat örgütü olan Keşif Genel Bürosu'nun (RGB) bir bölümü olan 63. Araştırma Merkezi altında faaliyet gösterdiğine inanılıyor.
ABD Federal Soruşturma Bürosu (FBI) ve Ulusal Güvenlik Ajansı'nın (NSA) ortak uyarısına göre, Kimsuky'nin öncelikli hedefi Kuzey Kore rejimine çalıntı veriler ve jeopolitik bilgiler sağlamak. Bunu politika analistleri ve uzmanlardan ödün vererek başarıyorlar. Başarılı uzlaşmalar, Kimsuky aktörlerinin daha yüksek değere sahip bireyleri hedeflemek için daha ikna edici hedef odaklı kimlik avı e-postaları geliştirmelerine olanak tanır.
Kimsuky ayrıca C# tabanlı bir uzaktan erişim Truva Atı ve TutorialRAT olarak bilinen bilgi toplayıcıyı içeren kampanyalarla da ilişkilendirilmiştir. Bu kötü amaçlı yazılım, tehdit tespitinden kaçmayı amaçlayan saldırıları başlatmak için Dropbox'ı bir platform olarak kullanıyor. APT43'ün BabyShark tehdit kampanyasını hatırlatan bu kampanya, kısayol (LNK) dosyalarının kullanımı da dahil olmak üzere yaygın hedef odaklı kimlik avı tekniklerini kullanıyor.
