Kaspersky uzmanlarının öncelikle Güney Koreli düşünce kuruluşlarını hedef alan aktif bir siber casusluk kampanyasının maskesini düşürmesinden yaklaşık 10 yıl sonra, devlet destekli Kimsuky olarak bilinen grup, araç ve taktiklerin verimli bir şekilde güncellendiğini göstermeye devam ediyor.
Kaspersky’nin kıdemli uzmanı, bu Gelişmiş Kalıcı Tehdit (APT) tehdit aktörünün operasyonlarını bol yetenekleriyle genişletme olasılığı da dahil olmak üzere bulgularını daha fazla açıkladı.
Thallium, Black Banshee ve Velvet Chollima olarak da bilinen Kimsuky, 2013’ten beri Kaspersky’nin radarında yer alıyor ve altyapısını gizlemek ve güvenlik araştırmacıları ile otomatik analiz sistemlerinin yükleri elde etmesini zorlaştırmak için araçlarını çok hızlı bir şekilde güncellediği biliniyor.
Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT) Baş Güvenlik Araştırmacısı Seongsu Park, kötü şöhretli grubun dünya çapında çeşitli ticari barındırma hizmetleriyle sürekli olarak çok aşamalı komuta ve kontrol sunucuları (C2) yapılandırdığını tespit etti.
Komuta ve kontrol sunucusu, bir tehdit aktörünün kötü amaçlı yazılımlarını kontrol etmesine ve üyelerine kötü amaçlı komutlar göndermesine, casus yazılımları düzenlemesine, yük göndermesine ve daha pek çok şeye yardımcı olan bir sunucudur.
Park, “2019’da 100’den az C2 sunucusundan, Kimsuky’nin bu yıl Temmuz itibariyle 603 kötü niyetli komuta merkezi var, bu da tehdit aktörünün muhtemelen Kore yarımadasının ötesinde daha fazla saldırı başlatmaya hazır olduğunu açıkça gösteriyor.
“Tarihi, APAC’daki devlet kurumlarının, diplomatik kuruluşların, medyanın ve hatta kripto para birimi işletmelerinin bu gizli tehdide karşı yüksek tetikte olması gerektiğini gösteriyor.”
Hızla artan C2 sunucu sayısı, Kimsuky’nin APAC ve ötesindeki sürekli operasyonlarının bir parçasıdır. 2022’nin başlarında Kaspersky’nin uzman ekibi, Güney Kore’deki gazetecileri, diplomatik ve akademik kurumları hedef alan başka bir saldırı dalgası gözlemledi.
GoldDragon kümesi olarak adlandırılan tehdit aktörü, makro gömülü bir Word belgesi içeren bir hedef odaklı kimlik avı e-postası göndererek enfeksiyon zincirini başlattı. Bu yeni saldırı için kullanılan farklı Word belgelerinin her biri Kore Yarımadası’ndaki jeopolitik meselelerle ilgili farklı tuzak içerikleri gösteren çeşitli örnekler ortaya çıkarıldı.
Daha fazla analiz, Park’ın GoldDragon kümesiyle ilgili sunucu tarafı komut dosyalarını keşfetmesine izin verdi ve bu da uzmanların grubun C2 operasyonunu haritalandırmasına izin verdi.
Oyuncu, ek belgeler indirmesi için potansiyel kurbana bir hedef odaklı kimlik avı e-postası gönderir. Kurban bağlantıyı tıklarsa, parametre olarak bir e-posta adresi ile birinci aşama C2 sunucusuna bağlantı ile sonuçlanır.
İlk aşama C2 sunucusu, gelen e-posta adresi parametresinin beklenen bir parametre olduğunu doğrular ve hedef listedeyse kötü amaçlı belgeyi iletir. İlk aşama komut dosyası ayrıca kurbanın IP adresini bir sonraki aşama sunucusuna iletir.
Getirilen belge açıldığında ikinci C2 sunucusuna bağlanır. İkinci C2 sunucusundaki ilgili komut dosyası, aynı kurbandan beklenen bir istek olup olmadığını kontrol etmek için birinci aşama sunucusundan iletilen IP adresini kontrol eder.
Bu IP doğrulama şemasını kullanarak aktör, gelen talebin kurbandan olup olmadığını doğrular. Bunun da ötesinde, operatör, işletim sistemi türünü ve önceden tanımlanmış kullanıcı aracısı dizelerini kontrol etmek gibi bir sonraki yükü dikkatli bir şekilde teslim etmek için diğer birkaç işleme güvenir.
Park, “Kimsuky’nin kullandığı bir diğer dikkate değer teknik, müşterinin ödün vermek istedikleri ilgili kurbanı doğrulamak için doğrulama sürecinin kullanılmasıdır. Kaspersky uzmanları, 2022 Asya Liderlik Konferansı’nın gündemi, bir tür ücret talebi ve Avustralyalı diplomatların özgeçmişi gibi çeşitli konuları içeren sahte belgelerin içeriğini bile gördü.
“Kimsuky grubunun sürekli olarak kötü amaçlı yazılım bulaşma şemaları geliştirdiğini ve analizi engellemek için yeni teknikler benimsediğini gördük. Bu grubu izlemenin zorluğu, tam bir bulaşma zinciri edinmenin zor olmasıdır. Bu araştırmadan görebildiğimiz gibi, en son , tehdit aktörleri komuta ve kontrol sunucularında kurban doğrulama metodolojisini benimser.
“Sunucu tarafı nesneleri almanın zorluğuna rağmen, bir saldırganın sunucusunu ve kötü amaçlı yazılımını kurbanlar tarafından analiz edersek, tehdit aktörlerinin altyapılarını nasıl işlettiklerini ve ne tür teknikler kullandıklarını tam olarak anlayabiliriz.”
Sistemleri ve ağları Kimsuky’nin gizli taktik ve tekniklerinden korumak için Kaspersky uzmanları şunları öneriyor:
Tam bağlam tabanlı savunma anahtardır
Vur-kaç tarzı savunma asla işe yaramaz
Tehditlerin tam içeriğini anlamak için, derinlemesine ve gerçek zamanlı raporlar ve analizler sağlayan hizmetlere sahip olmanız önerilir.
Savunma noktalarını çeşitlendirin
Diğer sektörlerle işbirliği
Her sektör farklı güç ve uzmanlık setlerine sahiptir
Siber tehditlerin çok boyutluluğunu anlamak ve onlara karşı daha iyi stratejilere izin vermek için işbirliği şarttır.
