hack-haber

Yeni Kimsuky Modülü Kuzey Kore Spyware Daha Güçlü yapar

ABD hükümetinin Kuzey Kore devlet destekli hackerlar tarafından işletilen bir "küresel istihbarat toplama misyonu" hakkında bir danışma yayınladı bir hafta sonra, yeni bulgular tehdit grubunun casus yazılım yetenekleri hakkında ortaya çıkmıştır.

APT - dubbed "(akaBlack Banshee veya Thallium) ve 2012 kadar erken aktif olduğuna inanılan - şimdi bir bilgi hırsızı, kötü amaçlı yazılım anti-analiz özellikleri ile donatılmış bir araç da dahil olmak üzere şimdiye kadar üç kadar belgesiz malware, ve eski casusluk çerçevesi önemli örtüşmeleri ile yeni bir sunucu altyapısı ile bağlantılı olmuştur.

Cybereason araştırmacıları dün yaptıkları analizde, "Grup, Güney Kore'deki düşünce tanklarını hedef alan operasyonlar da dahil olmak üzere dünya çapında saldırı amaçlı siber operasyonlarla zengin ve kötü üne sahip bir geçmişe sahip, ancak son birkaç yıldır hedeflerini ABD, Rusya ve Avrupa'daki çeşitli ülkeler de dahil olmak üzere ülkelere genişlettiler." dedi.

Geçen hafta, FBI ve Savunma ve İç Güvenlik departmanları ortaklaşa Kimsuky taktikleri, teknikleri ve prosedürleri ayrıntılı bir not yayınladı.

Kurban ağlarına ilk erişimi elde etmek için mızrak-kimlik avı ve sosyal mühendislik hilelerinden yararlanan APT, özellikle çeşitli alanlarda uzman olarak tanımlanan kişileri, düşünce tanklarını, kripto para birimi endüstrisini ve Güney Kore devlet kuruluşlarını hedef aldığı ve Ayrıca Güney Kore'den gelen gazeteci kılığına girip BabyShark kötü amaçlı yazılımla birlikte gönderilen e-postaları gönderdiği bilinmektedir.

Son aylarda, Kimsuky kurban makineleri bir dayanak kazanmak ve kötü amaçlı yazılım saldırıları başlatmak için kendi enfeksiyon vektör olarak weaponized Word belgeleri içeren coronavirus temalı e-posta lures kullanarak kampanyalar bir dizi atfedilen olmuştur.

Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), "Kimsuky istihbarat toplama faaliyetlerini Kore yarımadasıyla ilgili dış politika ve ulusal güvenlik konularına, nükleer politikaya ve yaptırımlara odaklatır." dedi.

Şimdi Cybereason göre, tehdit aktör "KGH_SPY" adlı modüler bir casus yazılım paketi aracılığıyla yeni yetenekler elde etti, hedef ağların keşif yürütmek için izin, tuş vuruşlarını yakalamak, ve hassas bilgileri çalmak.

Bunun yanı sıra, KGH_SPY arka kapı bir komut ve kontrol (C2) sunucusundan ikincil yükleri indirebilir, cmd.exe veya PowerShell üzerinden rasgele komutları çalıştırabilir ve hatta web tarayıcılarından, Windows Kimlik Bilgileri Yöneticisi, WINSCP ve posta istemcilerinden kimlik bilgilerini toplayabilir.

Ayrıca dikkat analiz önlemek ve ek yükleri indirmek için tasarlanmış "CSPY Downloader" adlı yeni bir kötü amaçlı yazılım keşfi.

Son olarak, Cybereason araştırmacılar 2019-2020 arasında daha önce ABD merkezli düşünce tankları hedef kullanılan grubun BabyShark malware ile örtüşen yeni bir araç seti altyapısı ortaya çıkardı.

Araştırmacılar, "Tehdit aktörleri, kötü amaçlı yazılım örneklerinin 2016'ya kadar oluşturulma/derleme zamanının güncellenmesi, kod gizleme, anti-VM ve hata ayıklama teknikleri nin güncellenmesini de içeren çeşitli anti-adli tıp ve anti-analiz teknikleri sunarak radarın altında kalmak için çaba sarf ettiler." dedi.

"Bu kampanyanın kurbanlarının kimlikleri belirsizliğini korurken, altyapının insan hakları ihlalleriyle uğraşan örgütleri hedef lediğine dair ipuçları var."



Yazar


Yorumlar Toplam Yorum Henüz yorum Yapan Yok


Yorum Yap


Scroll to Top