Siber dünyada aktif olan Kuzey Koreli Kimsuky Hackerları, Siber Saldırılarda Yeni Keşif Aracı Reconshark’ı Kullanıyor.
Kimsuky olarak bilinen Kuzey Kore devlet destekli hacker grubu, devam eden küresel bir kampanyanın parçası olarak ReconShark adlı yeni bir keşif aracı kullanılarak keşfedildi.
SentinelOne araştırmacıları Tom Hegel ve Aleksandar Milenkoski, “[ReconShark], kimlik avı e-postaları, belge indirmelerine yol açan OneDrive bağlantıları ve kötü amaçlı makroların yürütülmesi yoluyla özellikle hedeflenen kişilere aktif olarak ulaştırılıyor” dedi.
İlginizi çekebilecek yazımız: SpecTor Operasyonu: Dark Web İçerisinde 53,4 Milyon Dolar Ele Geçirildi
Kimsuky hackerları ayrıca APT43, ARCHIPELAGO, Black Banshee, Nickel Kimball, Emerald Sleet (previously Thallium), Velvet Chollima isimleriyle de bilinir.
En az 2012’den beri aktif olan ve üretken olan hacker grubu, Kuzey Amerika, Asya ve Avrupa’daki sivil toplum kuruluşlarına (STK’lar), düşünce kuruluşlarına, diplomatik kurumlara, askeri kuruluşlara, ekonomik gruplara ve araştırma kuruluşlarına yönelik hedefli saldırılarla ilişkilendirildi.
SentinelOne tarafından belgelenen en son izinsiz giriş seti, enfeksiyon dizisini etkinleştirmek için Kuzey Kore’nin nükleer yayılmasıyla ilgili jeopolitik temalardan yararlanıyor.
Araştırmacılar, “Özellikle, mızrak avı e-postaları, belirli kişiler için ayarlanmış bir tasarım kalitesi düzeyinde yapılır ve hedef tarafından açılma olasılığını artırır” dedi. “Bu, şüphelenmeyen kullanıcılar için meşru görünen uygun biçimlendirme, dilbilgisi ve görsel ipuçlarını içerir.”
Bu iletiler, reconshark’ı dağıtmak için OneDrive’da barındırılan bubi tuzağına düşmüş Microsoft Word belgelerine bağlantılar içerir; bu, esas olarak aktör kontrollü bir sunucudan gönderilen talimatları yürütmek için bir keşif aracı olarak işlev görür. Aynı zamanda tehdit aktörünün BabyShark kötü amaçlı yazılım araç setinin değişik versiyonu.
Palo Alto Networks Unit 42, Şubat 2019’da BabyShark analizinde “Sistem bilgilerini C2 sunucusuna aktarıyor, sistemde kalıcılığı koruyor ve operatörden daha fazla talimat bekliyor” dedi.
ReconShark, çalışan süreçler, konuşlandırılmış algılama mekanizmaları ve donanım bilgileriyle ilgili ayrıntıları süzmek için özel olarak tasarlanmıştır; bu, araçtan toplanan verilerin, algılamayı engelleyecek şekilde hedeflenen ortama uyarlanmış kötü amaçlı yazılımları içeren “hassas saldırılar” gerçekleştirmek için kullanıldığını düşünülüyor.
Kötü amaçlı yazılım ayrıca, “virüslü makinelerde hangi algılama mekanizması işlemlerinin çalıştığına bağlı olarak sunucudan ek yükler dağıtabilir.”
Bulgular, tehdit aktörünün, ele geçirilmiş ana bilgisayarlar üzerinde bir dayanak oluşturmak, sebat oluşturmak ve uzun süre gizlice istihbarat toplamak için taktiklerini aktif olarak değiştirdiğine dair artan kanıtlara katkıda bulunuyor.
SentinelOne, “Kimsuky’den devam eden saldırılar ve yeni keşif aracı Reconshark’ı kullanmaları, Kuzey Kore tehdit ortamının gelişen doğasını vurguluyor” dedi.
Haber Kaynağı: The Hacker News