Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın

Güncel Floodlar En sonuncu Nesne

‘Kimsuky’ bilgisayar korsanları, kötü amaçlı yazılımlarının yalnızca geçerli hedeflere ulaşmasını nasıl sağlıyor?


bilgisayar korsanı

Kuzey Koreli ‘Kimsuky’ tehdit aktörleri, kötü niyetli yüklerinin güvenlik araştırmacılarının sistemlerine değil, yalnızca geçerli hedefler tarafından indirilmesini sağlamak için büyük çaba sarf ediyor.

Bugün yayınlanan bir Kaspersky raporuna göre, tehdit grubu, grubun Kore yarımadasındaki çeşitli hedeflere karşı yeni bir kampanya başlattığı 2022’nin başından beri geçersiz indirme isteklerini filtrelemek için yeni teknikler kullanıyor.

Kimsuky tarafından uygulanan yeni güvenlik önlemleri o kadar etkilidir ki Kaspersky, tehdit aktörünün komuta ve kontrol sunucusuna başarıyla bağlandıktan sonra bile nihai yükleri alamadığını bildirmektedir.

Çok aşamalı doğrulama şeması

Kaspersky tarafından tespit edilen saldırılar, Kuzey ve Güney Kore’deki politikacılara, diplomatlara, üniversite profesörlerine ve gazetecilere gönderilen bir kimlik avı e-postasıyla başlıyor.

Kaspersky, hedeflerin kısmi e-posta adreslerini içeren alınan C2 komut dosyaları sayesinde potansiyel hedeflerin bir listesini derleyebildi.

Kaspersky tarafından elde edilen potansiyel hedefler
Kaspersky tarafından elde edilen potansiyel hedefler

E-postalar, kurbanları kötü amaçlı bir belgeyi teslim etmeden önce birkaç parametreyi kontrol eden ve doğrulayan birinci aşama bir C2 sunucusuna götüren bir bağlantı içerir. Ziyaretçi hedef listesiyle eşleşmezse, onlara zararsız bir belge sunulur.

Parametreler, ziyaretçinin e-posta adresini, işletim sistemini (Windows geçerlidir) ve “dosyasını içerir.[who]İkinci aşama sunucusu tarafından bırakılan .txt”.

Aynı zamanda, ziyaretçinin IP adresi, bir sonraki kontrol parametresi olarak ikinci aşama C2 sunucusuna iletilir.

İlk aşama C2 tarafından bırakılan belge, kurbanı ikinci aşama C2’ye bağlayan, bir sonraki aşama yükünü getiren ve mshta.exe işlemiyle çalıştıran kötü amaçlı bir makro içeriyor.

Hedeflere gönderilen bazı belgeler
Hedeflere gönderilen bazı belgeler (Kaspersky)

Yük, otomatik yürütme için zamanlanmış bir görev de oluşturan bir .HTA dosyasıdır. İşlevi, ProgramFiles klasör yollarını, AV adını, kullanıcı adını, işletim sistemi sürümünü, MS Office sürümünü, .NET çerçeve sürümünü ve daha fazlasını kontrol ederek kurbanın profilini çıkarmaktır.

Parmak izi sonucu bir dizgede (“chnome”) saklanır, bir kopyası C2’ye gönderilir ve yeni bir yük getirilir ve bir kalıcılık mekanizması ile kaydedilir.

Bir sonraki yük, kurbanı meşru bir bloga götürebilecek veya geçerli hedeflerse onları bir sonraki yük indirme aşamasına götürebilecek bir VBS dosyasıdır.

Enfeksiyonun her aşamasında C2 kontrolleri yapılır
Enfeksiyonun her aşamasında C2 kontrolleri yapılır (Kaspersky)

“İlginç bir şekilde, bu C2 betiği, kurbanın IP adresine dayalı bir blog adresi oluşturuyor. Kurbanın IP adresinin MD5 karmasını hesapladıktan sonra son 20 karakteri kesip bir blog adresine dönüştürüyor.” ayrıntılar Kaspersky.

“Yazarın buradaki amacı, her kurban için özel bir sahte blog çalıştırmak, böylece kötü amaçlı yazılımlarının ve altyapılarının maruz kalmasını azaltmaktır.”

Bu, kurbanın sisteminin, hala şüphe uyandırmayan benzersiz bir doğrulayıcı olarak hizmet etmesi için bilerek yanlış yazılmış olağandışı “chnome” dizesinin varlığı açısından kontrol edildiği zamandır.

Kimsuky son enfeksiyon süreci
Kimsuky son enfeksiyon süreci (Kaspersky)

Ne yazık ki, Kaspersky buradan devam edemedi ve bir sonraki aşama yükünü getiremedi, bu nedenle bunun son aşama mı olacağı yoksa çoğu doğrulama adımının olup olmadığı bilinmiyor.

Kimsuky, son zamanlarda konuşlandırıldığı görülen çok karmaşık bir tehdit aktörüdür. özel kötü amaçlı yazılım ve kullanarak Google Chrome uzantıları kurbanlardan e-postaları çalmak için.

Kaspersky tarafından vurgulanan kampanya, Koreli bilgisayar korsanlarının analizi engellemek ve izlemelerini çok daha zor hale getirmek için kullandıkları ayrıntılı teknikleri gösteriyor.

İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.