Kuzey Koreli ‘Kimsuky’ tehdit aktörleri, kötü niyetli yüklerinin güvenlik araştırmacılarının sistemlerine değil, yalnızca geçerli hedefler tarafından indirilmesini sağlamak için büyük çaba sarf ediyor.
Bugün yayınlanan bir Kaspersky raporuna göre, tehdit grubu, grubun Kore yarımadasındaki çeşitli hedeflere karşı yeni bir kampanya başlattığı 2022’nin başından beri geçersiz indirme isteklerini filtrelemek için yeni teknikler kullanıyor.
Kimsuky tarafından uygulanan yeni güvenlik önlemleri o kadar etkilidir ki Kaspersky, tehdit aktörünün komuta ve kontrol sunucusuna başarıyla bağlandıktan sonra bile nihai yükleri alamadığını bildirmektedir.
Çok aşamalı doğrulama şeması
Kaspersky tarafından tespit edilen saldırılar, Kuzey ve Güney Kore’deki politikacılara, diplomatlara, üniversite profesörlerine ve gazetecilere gönderilen bir kimlik avı e-postasıyla başlıyor.
Kaspersky, hedeflerin kısmi e-posta adreslerini içeren alınan C2 komut dosyaları sayesinde potansiyel hedeflerin bir listesini derleyebildi.
E-postalar, kurbanları kötü amaçlı bir belgeyi teslim etmeden önce birkaç parametreyi kontrol eden ve doğrulayan birinci aşama bir C2 sunucusuna götüren bir bağlantı içerir. Ziyaretçi hedef listesiyle eşleşmezse, onlara zararsız bir belge sunulur.
Parametreler, ziyaretçinin e-posta adresini, işletim sistemini (Windows geçerlidir) ve “dosyasını içerir.[who]İkinci aşama sunucusu tarafından bırakılan .txt”.
Aynı zamanda, ziyaretçinin IP adresi, bir sonraki kontrol parametresi olarak ikinci aşama C2 sunucusuna iletilir.
İlk aşama C2 tarafından bırakılan belge, kurbanı ikinci aşama C2’ye bağlayan, bir sonraki aşama yükünü getiren ve mshta.exe işlemiyle çalıştıran kötü amaçlı bir makro içeriyor.
Yük, otomatik yürütme için zamanlanmış bir görev de oluşturan bir .HTA dosyasıdır. İşlevi, ProgramFiles klasör yollarını, AV adını, kullanıcı adını, işletim sistemi sürümünü, MS Office sürümünü, .NET çerçeve sürümünü ve daha fazlasını kontrol ederek kurbanın profilini çıkarmaktır.
Parmak izi sonucu bir dizgede (“chnome”) saklanır, bir kopyası C2’ye gönderilir ve yeni bir yük getirilir ve bir kalıcılık mekanizması ile kaydedilir.
Bir sonraki yük, kurbanı meşru bir bloga götürebilecek veya geçerli hedeflerse onları bir sonraki yük indirme aşamasına götürebilecek bir VBS dosyasıdır.
“İlginç bir şekilde, bu C2 betiği, kurbanın IP adresine dayalı bir blog adresi oluşturuyor. Kurbanın IP adresinin MD5 karmasını hesapladıktan sonra son 20 karakteri kesip bir blog adresine dönüştürüyor.” ayrıntılar Kaspersky.
“Yazarın buradaki amacı, her kurban için özel bir sahte blog çalıştırmak, böylece kötü amaçlı yazılımlarının ve altyapılarının maruz kalmasını azaltmaktır.”
Bu, kurbanın sisteminin, hala şüphe uyandırmayan benzersiz bir doğrulayıcı olarak hizmet etmesi için bilerek yanlış yazılmış olağandışı “chnome” dizesinin varlığı açısından kontrol edildiği zamandır.
Ne yazık ki, Kaspersky buradan devam edemedi ve bir sonraki aşama yükünü getiremedi, bu nedenle bunun son aşama mı olacağı yoksa çoğu doğrulama adımının olup olmadığı bilinmiyor.
Kimsuky, son zamanlarda konuşlandırıldığı görülen çok karmaşık bir tehdit aktörüdür. özel kötü amaçlı yazılım ve kullanarak Google Chrome uzantıları kurbanlardan e-postaları çalmak için.
Kaspersky tarafından vurgulanan kampanya, Koreli bilgisayar korsanlarının analizi engellemek ve izlemelerini çok daha zor hale getirmek için kullandıkları ayrıntılı teknikleri gösteriyor.