Takip edilen siber casusluk tehdidi aktörü Dünya Kitsune adlı yeni bir arka kapı konuşlandırdığı gözlemlendi. BıyıkCasus bir sosyal mühendislik kampanyasının parçası olarak.
En az 2019’dan beri aktif olan Earth Kitsune’un, dneSpy ve agfSpy gibi kendi geliştirdiği kötü amaçlı yazılımlarla öncelikle Kuzey Kore ile ilgilenen kişileri hedef aldığı biliniyor. Daha önce belgelenen izinsiz girişler, bulaşma zincirini etkinleştirmek için Google Chrome ve Internet Explorer’daki tarayıcı açıklarından yararlanan sulama deliklerinin kullanılmasını gerektirmiştir.
Trend Micro’nun geçen hafta yayınladığı yeni bir rapora göre, son saldırılardaki ayırt edici faktör, kullanıcıları Kuzey Kore ile ilgili güvenliği ihlal edilmiş web sitelerini ziyaret etmeleri için kandırmak için sosyal mühendisliğe geçiş.
Siber güvenlik şirketi, isimsiz bir Kuzey Kore yanlısı örgütün web sitesinin WhiskerSpy implantını dağıtmak için saldırıya uğradığını ve değiştirildiğini söyledi. Uzlaşma geçen yılın sonunda keşfedildi.
Araştırmacı Joseph C Chen ve “Hedeflenen bir ziyaretçi web sitesindeki videoları izlemeye çalıştığında, saldırgan tarafından enjekte edilen kötü amaçlı bir komut dosyası, kurbanları bir video codec hatasıyla bilgilendiren ve onları truva atına bulaştırılmış bir codec yükleyici indirip yüklemeye ikna eden bir mesaj istemi görüntüler.” Jaromir Horejsi söz konusu.
Bubi tuzaklı komut dosyasının, daha sonra WhiskerSpy’ı yüklemek için kullanılan yükleyici (“Codec-AVC1.msi”) ile web sitesinin video sayfalarına enjekte edildiği söyleniyor.
Ancak saldırı, tespitten kaçınmak için bazı zekice hileler de sergiliyor. Bu, kötü amaçlı betiğin yalnızca IP adresleri belirli kriterlerle eşleşen ziyaretçilere iletilmesini içerir –
- Shenyang, Çin’de bulunan bir IP adresi alt ağı
- Nagoya, Japonya’da bulunan belirli bir IP adresi ve
- Brezilya’da bulunan bir IP adresi alt ağı
Trend Micro, Brezilya’da hedeflenen IP adreslerinin ticari bir VPN hizmetine ait olduğunu ve tehdit aktörünün “bu VPN hizmetini sulama deliği saldırılarının dağıtımını test etmek için kullanmış olabileceğini” kaydetti.
Kalıcılık şu şekilde sağlanır: taciz OneDrive’da veya kötü amaçlı bir Google Chrome uzantısı aracılığıyla bir Dinamik Kitaplık Bağlantısı (DLL) ele geçirme güvenlik açığı yerel mesajlaşma API’leri web tarayıcısı her başlatıldığında yükü yürütmek için.
WhiskerSpy arka kapısı, türünün diğer kötü amaçlı yazılımları gibi, dosyaları silme, numaralandırma, indirme ve yükleme, ekran görüntüleri alma, kabuk kodu enjekte etme, rastgele yürütülebilir dosyaları yükleme yetenekleriyle birlikte gelir.
Araştırmacılar, “Earth Kitsune teknik yetenekleri konusunda uzmandır ve araçlarını, taktiklerini ve prosedürlerini sürekli olarak geliştirmektedir” dedi.
Earth Yako, Japonya’da Akademik ve Araştırma Sektörlerini Vurdu
Earth Kitsune, Japon hedeflerinin peşine düşen tek tehdit aktörü değil, çünkü siber güvenlik şirketi ayrıca kod adlı başka bir izinsiz giriş setini de ayrıntılı olarak açıkladı. Dünya Yako ülkedeki çarpıcı araştırma kuruluşları ve düşünce kuruluşları.
Ocak 2023 gibi yakın bir tarihte gözlemlenen etkinlik, daha önce bilinen bir kampanyanın devamı niteliğindedir. RestyLink Operasyonu. Saldırıların bir alt kümesi de Tayvan’da bulunan varlıkları hedef aldı.
Trend Micro, “İhlal seti, kısa bir süre içinde yeni araçları ve kötü amaçlı yazılımları kullanıma sundu, sık sık saldırı hedeflerini değiştirdi ve genişletti.” söz konusuEarth Yako’nun “hedeflerini ve yöntemlerini aktif olarak değiştirme” yöntemine işaret ediyor.
Başlangıç noktası, halka açık etkinliklere davet kılığına giren hedef odaklı bir kimlik avı e-postasıdır. Mesajlar, kötü amaçlı yazılımın sisteme indirilmesinden sorumlu olan bir yüke işaret eden kötü amaçlı bir URL içerir.
Saldırılar ayrıca, damlatıcılar (PULink), yükleyiciler (Dulload, MirrorKey), düzenleyiciler (ShellBox) ve arka kapılar (PlugBox, TransBox) içeren bir dizi özel araçla karakterize edilir.
PlugBox, ShellBox ve TransBox, adlarından da anlaşılacağı gibi, bir GitHub deposunda kodlanmış uzak bir sunucudan sonraki aşama kötü amaçlı yazılımları almak, komutları almak ve verileri toplamak ve sızdırmak için Dropbox API’lerinden yararlanır.
Earth Yako’nun kesin kaynağı bilinmiyor ancak Trend Micro, grup ile Darkhotel, APT10 (namı diğer Stone Panda) ve APT29 (Cozy Bear veya Nobelium olarak da bilinir) gibi diğer tehdit aktörleri arasında kısmi teknik örtüşmeler tespit ettiğini söyledi.
Şirket, “Son hedefli saldırıların özelliklerinden biri, şirketlere ve diğer kuruluşlara kıyasla nispeten zayıf güvenlik önlemlerine sahip olduğu düşünülen kişileri hedef almaya kaymasıdır” dedi.
“Kurumlar yerine bireyleri hedeflemeye yönelik bu geçiş, bölgede kullanıcılar arasında kişisel kullanım için popüler bir hizmet olarak kabul edildiğinden, ancak kuruluşlar için değil, Dropbox’ın hedeflenmesi ve kötüye kullanılması ile vurgulanmaktadır.”