ForceCopy Hırsızı
Kuzey Kore bağlantılı hacker grubu Kimsuky, forceCopy adlı yeni tanımlanmış bir bilgi çalma kötü amaçlı yazılımını dağıtmak için mızraklı kimlik avı saldırıları kullandığı bulundu. Bu saldırılar, Microsoft Office veya PDF belgesi gibi görünen gizli bir Windows kısayolu (LNK) dosyası içeren kimlik avı e-postalarıyla başlıyor. Dosyayı bilmeden açan şüphesiz alıcılar, kötü amaçlı komutları yürüten bir zincirleme reaksiyon başlatıyor.
İçindekiler
Tehdit Edici Yükleri Taşımak İçin Meşru Araçların Kullanımı
Kullanıcı zararlı eklentiyle etkileşime girdiğinde, enfeksiyon süreci HTML Uygulaması (HTA) dosyalarını çalıştırmak için kullanılan meşru bir Windows yardımcı programı olan PowerShell veya 'mshta.exe'yi çalıştırarak başlar. Bu teknik, saldırganların şüphe uyandırmadan harici bir kaynaktan ek kötü amaçlı yazılım yüklerini alıp dağıtmalarına olanak tanır.
Truva atlarını ve Uzak Masaüstü Araçlarını Dağıtma
Saldırılar, PEBBLEDASH Truva Atı ve uzak masaüstü erişimi için kullanılan açık kaynaklı bir araç olan RDP Wrapper'ın değiştirilmiş bir sürümü de dahil olmak üzere bilinen tehditlerin dağıtımıyla sonuçlanır. Bunların yanı sıra, tehlikeye atılan cihaz ile saldırganların harici ağı arasında Uzak Masaüstü Protokolü (RDP) aracılığıyla sürekli bir bağlantı sağlamak için proxy kötü amaçlı yazılımı tanıtılır.
Bir Keylogger ve forceCopy: Depolanan Kimlik Bilgilerini Hedefleme
Kimsuky'nin ayrıca tuş vuruşlarını yakalamak için PowerShell tabanlı bir tuş kaydedici kullandığı görüldü, bu da hassas bilgileri çalma yeteneklerini daha da artırdı. Ek olarak, yeni keşfedilen forceCopy kötü amaçlı yazılımı özellikle web tarayıcısı dizinlerinde depolanan dosyaları çıkarmak için tasarlanmıştır. Bu, güvenlik kısıtlamalarını aşma ve oturum açma kimlik bilgilerinin sıklıkla depolandığı tarayıcı yapılandırma dosyalarına doğrudan erişme girişimini düşündürmektedir.
Stratejik Bir Değişim: Ana Bilgisayar Kontrolü için RDP Kullanımı
Grubun RDP Wrapper ve proxy kötü amaçlı yazılımlara olan bağımlılığı, operasyonlarında taktiksel bir değişimi vurguluyor. Daha önce, Kimsuky enfekte olmuş sistemleri kontrol etmek için öncelikle özel olarak oluşturulmuş arka kapılar kullanıyordu. Şimdi, yaygın olarak bulunan araçlardan yararlanarak, tespit şansını azaltırken kalıcılığı korumayı hedefliyorlar.
APT43: Uzun Süreli Bir Siber Casusluk Tehdidi
APT43, Black Banshee ve Emerald Sleet gibi takma adlarla da bilinen Kimsuky'nin, ülkenin önde gelen dış istihbarat servisi olan Kuzey Kore Keşif Genel Bürosu (RGB) altında faaliyet gösterdiğine inanılıyor. En az 2012'den beri aktif olan grubun, e-posta güvenlik savunmalarını aşmak için karmaşık sosyal mühendislik saldırıları gerçekleştirme konusunda uzun bir geçmişi var.
Rusya Tabanlı Kimlik Avı Kampanyalarıyla Operasyonları Genişletiyoruz
Son bulgular, Kimsuky'nin kimlik bilgisi hırsızlığı kampanyaları yürütmek için Rus e-posta servislerinden gönderilen kimlik avı e-postalarını kullandığını gösteriyor. Aralık 2024'te gözlemlenen bu uyarlama, grubun yüksek değerli bireyleri ve kuruluşları hedeflemek için sosyal mühendislik tekniklerini geliştirmeye devam ederken gelişen taktiklerini yansıtıyor.
