Kuzey Koreli Siber Saldırı Ekibi Kimsuky, Yeni Golang Tabanlı Malware Durian ile Kripto Şirketlerine Saldırıyor

Kimsuky adıyla bilinen Kuzey Koreli siber saldırı ekibi, iki Güney Koreli kripto para birimi ve piyasası firmasına yönelik hedef odaklı siber saldırılar kapsamında, daha önce dokümantasyonu yapılmamış, yani ilk defa karşılaşılan bir Golang tabanlı kötü amaçlı yazılım olan Durian’ı kullanmaya başladığı görülmektedir.

Kaspersky, 2024 yılının birinci çeyrek Gelişmiş Kalıcı Tehdit (APT) trendleri raporunda bu zararlı yazılım hakkında: “Durian, kendisine ulaştırılan komutların uygulanmasını, dış kaynaklardan dosya indirmelerini ve dosyaların dışa aktarılmasını sağlayan geniş kapsamlı bir arka kapı işlevselliği sunmaktadır,” şeklinde bir bilgi sunulmuştur.

 

2023 yılının Ağustos ve Kasım aylarında gerçekleşen saldırılar, en yüksek etki ve yayılımı sağlamak için Güney Kore’ye özel, tanınan, bilinen ve popüler bir yazılımın kullanılmasını gerektirmiştir, ancak bu ilgili programı manipüle etmek için kullanılan kesin mekanizma şu anda belirlenememiştir.

Fakat şu bilinmektedir ki Durian, yazılımın saldırganın sunucusuna bir bağlantı kurmaya ve enfeksiyon sürecini başlatan kötü amaçlı asıl yazılımın cihaza indirilmesini sağlamayı amaçlamaktadır.

İlk aşamada, kötü amaçlı yazılımı indirebilmek için bir yükleyici (loader) ve ilgili bilgisayarda kalıcılık kurma aracı olarak hizmet verir. Ayrıca, yaptığı eylemlerin sonunda Durian’ı çalıştıran bir yükleyici görevi gören kötü amaçlı yazılımın da hazırlıklarını tamamlamış olur.

Durian, kendi başına kullanıldığında, diğer kötü amaçlı yazılımları kurbanın cihazına indirip kurmak için kullanılır, ki bu zararlı yazılımlar arasında Kimsuky’nin en çok tercih ettiği arka kapı (backdoor) olan AppleSeed ve LazyLoad adıyla bilinen özel bir proxy aracı bulunur, ancak ngrok ve Chrome Remote Desktop gibi diğer meşru araçlar da bu araç setine dahildir.

Kaspersky uzmanlarının yorumunda “Sonuç olarak saldırgan, çerezler ve giriş bilgileri dahil olmak üzere tarayıcıda saklanan verileri çalmak için kötü amaçlı yazılımı yerleştirmiş olur,” denmektedir.

 

 

Saldırının dikkat çeken bir yönü, daha önce Lazarus Grubu içindeki bir alt küme olan Andariel tarafından kullanılan LazyLoad’ın kullanılmasıdır, bu da iki farklı görünen siber saldırı grubu arasında potansiyel bir işbirliği veya taktiksel örtüşme olasılığını gündeme getirmekle birlikte endişeleri artırmıştır.

Kimsuky grubunun en azından 2012’den beri aktif olduğu bilinmektedir ve kötü amaçlı siber faaliyetlerinin içinde APT43, Black Banshee, Emerald Sleet (eski adıyla Thallium), Springtail, TA427 ve Velvet Chollima gruplarının aksiyonlarını kapsamaktadır.

63. Araştırma Merkezi’ne bağlı bir unsur olarak değerlendirilen Kimsuky, ülkenin en önemli askeri istihbarat örgütü olan Keşif Genel Bürosu (RGB) kadrosunda bulunmaktadır. ABD Federal Soruşturma Bürosu (FBI) ve Ulusal Güvenlik Ajansı (NSA), bu ayın başlarında gruba dair şu şekilde bir uyarıda bulundu: “Kimsuky ekip üyelerinin birincil görevi, uluslararası politika analistleri ve diğer ihtisaslı uzmanları hedef alarak, Kuzey Kore rejimine değerli veriler ve değerli jeopolitik bilgiler sağlamaktır,”

“Başarılı ele geçirmeler, Kimsuky saldırı ekibinin daha inandırıcı ve Spear Phishing e-postaları oluşturmasını kolaylaştırırken, bu e-postalar her adımda daha hassas, daha yüksek değerli hedeflere karşı kullanılabilmektedir.”

Broadcom tarafından satın alınana Symantec’in yetkilileri: “Devlet destekli olduğu bilinen bu saldırgan yapı, Dropbox’ı “saldırılarının temeli olarak kullanma vasıtasıyla tehdit izleme sistemlerini atlatmak” için bir C# tabanlı uzaktan erişim truva atı ve bilgi hırsızı olan TutorialRAT’ın yayılmasını sağlayan saldırı ile de doğrudan bağlantılıdır. Ayrıca bu saldırı, APT43’ün BabyShark saldırı sisteminin bir uzantısı gibi görünüyor, zira aynı tipte Spear Phishing tekniklerini ve kısayol (LNK) dosyalarının kullanıyor” diye ekledi.

AhnLab Güvenlik İstihbarat Merkezi’nin (ASEC), başka bir Kuzey Kore devlet destekli hacking grubu olan ScarCruft’un Güney Koreli kullanıcıları, RokRAT adlı zararlı yazılımı kurmalarına sebep olan Windows kısayolu (LNK) dosyalarıyla hedefleyen bir saldırıyı ayrıntılı olarak anlattığı bir zamanda bu gelişmeler meydana geldi.

Bu karşıt görüşlü topluluğun, nam-ı diğer APT37, InkySquid, RedEyes, Ricochet Chollima veya Ruby Sleet, Kuzey Kore’nin Devlet Güvenlik Bakanlığı’na (MSS) bağlı olduğu ve ülkenin stratejik, askeri, politik ve ekonomik çıkarlarını desteklemek için gizli istihbarat toplama göreviyle görevlendirildiği söyleniyor.

Siber tehdit analiz şirketlerinden ASEC: “Son zamanlarda doğruluğu onaylanan kısayol dosyalarının (*.LNK), özellikle Kuzey Kore merkezli olanların, Güney Koreli kullanıcıları hedeflediği keşfedildi,” dedi.

 

Sarp Tecimer, Mayıs 2024

Siber Güvenlik Danışmanı

About The Author

Reply