Hackerlar, düşük maliyetle birçok kullanıcıya hızla saldırabilecekleri için e-posta saldırılarını tercih ediyorlar.
E-postalar, meşru görünecek şekilde hazırlanabiliyor, bu da tehdit aktörlerinin alıcıları kötü amaçlı bağlantılara tıklamaya, enfekte ekleri indirmeye veya hassas bilgileri ifşa etmeye kandırmasını kolaylaştırıyor.
ASEC’teki siber güvenlik araştırmacıları, Kuzey Koreli hackerların e-posta saldırılarında kullanılan yeni “HappyDoor” zararlı yazılımını aktif olarak kullandığını keşfettiler.
Kuzey Kore “HappyDoor” Zararlı Yazılımı
HappyDoor, Kimsuky grubu tarafından kullanılan ve ilk olarak 2021 yılında görülen, 2024 yılına kadar aktif olan az bilinen bir zararlı yazılım parçasıdır.
Bu zararlı yazılım, sürüm bilgilerinde ve hata ayıklama dizelerinde “happy” işaretçisi eklenmiş yeni sürümleriyle güncel kalmaktadır. Ancak, diğer Kimsuky zararlı yazılımları gibi (AppleSeed ve AlphaSeed örnekleri), HappyDoor da genellikle e-posta eklerinde obfuscated JScript veya çalıştırılabilir droplar olarak gelir.
HappyDoor zararlı yazılımı, 2021’de keşfedilmiş ve 2024’e kadar aktif olmuştur, sürekli güncellenmiştir.
Son örnekler (Aralık 2023 – Şubat 2024) aylık yamalar göstermektedir. Ancak, zararlı yazılım sürüm bilgilerini sabit kodlamaktadır. Yürütme argümanları 4.1 sürümünden (2023 civarı) itibaren tanıtılmış olup, bu parametrelere göre işlemler bölünmüştür.
Zararlı yazılımın üç enfeksiyon aşaması ‘install*’ (ilk yürütme), ‘init*’ (kurulum tamamlama) ve ‘run*’ (gerçek kötü amaçlı eylemler) olarak adlandırılır.
Daha sonra, “install*” argümanı algılamayı önlemek için rastgele dizelerle değiştirildi. Bu, bu zararlı yazılımın evriminin sürekli çalışıldığını ve saldırganların tespitten kaçınmaya çalıştığını göstermektedir.
HappyDoor, regsvr32.exe aracılığıyla üç aşamada çalışır:
- install*
- init*
- run*
Bu, kendini kopyalayan, zamanlayıcıya kayıt olan bir bilgi hırsızı olup, ayrıca arka kapı açmayı da sağlar. Bilgi hırsızlığı açısından, zararlı yazılımın altı ana işlevi vardır: ekran görüntüsü alma, tuş kaydı, dosya sızıntısı, verilerin çalınması için RSA şifreleme ve şifre çözme algoritmalarının kullanımı, ve C&C sunucuları ile HTTP üzerinden iletişim kurma.
HappyDoor, şifrelenmiş verileri kayıt defteri yollarında saklar ve eşleriyle iletişim kurmak için agreed packet structure kullanır.
Kayıt defterindeki yapılandırma, bu zararlı yazılımın bilgi hırsızlığı yeteneklerini kontrol eder ve çoklu iş parçacıkları kullanarak çalışır. Çalınan veriler geçici olarak tutulur ve C&C sunucusuna iletilmeden önce şifrelenir, ardından yok edilir. Diğer işlevler arasında sistem detaylarını toplama ve arka kapıya yönelik belirli komutları yürütme yer alır.
Aşağıda tüm ana işlevler belirtilmiştir:
- SCREENSHOT(SSHT)
- KEYLOGGER(KLOG)
- FILEMON(FMON)
- ALARM(AUSB, AMTP)
- MICREC(MREC)
- MTPMON(MMTP)
HappyDoor, Kuzey Kore ile bağlantılı “Kimsuky” grubu ile ilişkilidir ve bu zararlı yazılımı, spear-phishing saldırılarında kullanarak ek uzaktan erişim araçları ve veri hırsızlığı için kurar.
Araştırmacılar, kullanıcıları e-posta eklerinde dikkatli olmaya ve enfeksiyonu önlemek için yazılımları güncellemeye çağırdı.
IoC MD5:
- d9b15979e76dd5d18c31e62ab9ff7dae
- 4ef5e3ce535f84f975a8212f5630bfe8
- a1c59fec34fec1156e7db27ec16121a7
- c7b82b4bafb677bf0f4397b0b88ccfa2
- 0054bdfe4cac0cb7a717749f8c08f5f3
C&C Sunucu Adresleri:
- hxxp://app.seoul.minia[.]ml/kinsa.php
- hxxp://users.nya[.]pub/index.php
- hxxp://go.ktspace.pe[.]kr/index.php
- hxxp://on.ktspace.pe[.]kr/index.php
- hxxp://aa.olixa.pe[.]kr/index.php
- hxxp://uo.zosua.or[.]kr/index.php
- hxxp://jp.hyyeo.pe[.]kr/index.php
- hxxp://ai.hyyeo.pe[.]kr/index.php