Hackers, Windows işletim sistemlerindeki güvenlik açıklarını sömürmek için silahlandırılmış LNK dosyalarını kullanıyor. Bu dosyalar genellikle kullanıcı kısayola tıkladığında çalıştırılabilen kötü amaçlı kod içerir.
Bu silahlandırılmış dosyalar, tehdit aktörlerine yetkisiz erişim kazanma, kötü amaçlı yazılım teslim etme ve kötü amaçlı yük teslim etme gibi çeşitli kötü niyetli faaliyetlerde bulunma imkanı tanır.
Son zamanlarda, ASEC’deki siber güvenlik araştırmacıları, Kuzey Kore tarafından desteklenen Kimsuky grubunun silahlandırılmış LNK dosyasını kullanarak AppleSeed kötücül yazılımını yaymakta aktif olduğunu belirledi.
Kimsuky, 2013’ten beri faaliyet gösteriyor ve başlangıçta bu grup Güney Kore araştırma enstitülerine saldırdı ve daha sonra 2014’te Güney Kore enerji şirketini hedef aldı.
Bu sofistike grup, 2017’de saldırı yüzeyini küresel olarak genişletti ve ağırlıklı olarak şu alanlara yönelik özelleşmiş balık avına odaklanıyor:
- Savunma
- Endüstri
- Medya
- Diplomasi
- Organizasyonlar
- Akademi
Bu grupun başlıca amacı, iç bilgi ve teknoloji çalmaktır. Bu grup operatörleri LNK kötücül yazılımını tercih etse de aynı zamanda JavaScript macro’ları, Excel macro’ları gibi şu unsurları da kullanır:
- JavaScript macro’ları
- Excel macro’ları
Grup, AppleSeed’i kullanmada ısrarcıdır ve AlphaSeed gibi sonraki varyasyonlarıyla ve 2022’den bu yana Infostealer ve RDP Patch kötücül yazılımlarındaki tutarlılıkla dikkat çeker.
Ayrıca, daha iyi kontrol için RDP’den Chrome Remote Desktop’e geçmiştir ve yöntemlerde minimal değişiklikler yapmıştır.
AppleSeed, tehdit aktörleri tarafından kontrol edilir ve genellikle bir JavaScript dropper aracılığıyla dağıtılır. “APPDATA%” veya “PROGRAMDATA%” gibi gizlenmiş yollar içinde kurulur ve meşru programlar gibi görünür.
AlphaSeed, AppleSeed’e benzer bir Golang kötücül yazılımdır ve C&C iletişimi için ChromeDP kullanır ve farklı giriş yöntemleri kullanır. Kimsuky grubu, bazen AppleSeed ve AlphaSeed’i birlikte yükler.
Metasploit, Kimsuky tarafından kullanılan bir araştırma çerçevesidir ve Meterpreter’ı içerir ki bu da Kimsuky tarafından kullanılan bir arka kapıdır. Ayrıca, şu VNC kötücül yazılımları da kullanılır:
- TightVNC
- HVNC
Doğrulama için Kimsuky tarafından kullanılan “TinyNuke” adlı bir bankacılık kötücül yazılım, HVNC içerir ve Kimsuky’nin bu taktikleri en azından 2022’den beri kullanmış olduğunu gösterir.
Kimsuky tehdit grubu, sürekli olarak Güney Kore’yi hedef alır ve sürekli balık avı saldırıları gerçekleştirir, kötü amaçlı yazılımları e-posta ekleri olarak gönderir ve bu dosyaları çalıştırmak hedef sistem üzerinde kontrol sağlar.
Öneriler
Siber güvenlik araştırmacıları, kullanıcılara şu önerilerde bulunmuştur:
- Bilinmeyen gönderenlere dikkat edin
- Rasgele dosyalardan kaçının
- İşletim sistemini güncel tutun
- Tarayıcıları güncellediğinizden emin olun
- Önleme için V3’ü güncel tutun
IOCs (Gözlemlenebilir Bilgiler)
MD5
db5fc5cf50f8c1e19141eb238e57658c : AppleSeed (%APPDATA%\Abode\Service\AdobeService.dll
6a968fd1608bca7255c329a0701dbf58 : AppleSeed (%APPDATA%\Abode\Service\AdobeService.dll)
cafc26b215550521a12b38de38fa802b : AppleSeed (%APPDATA%\Abode\Service\AdobeService.dll)
76831271eb117b77a57869c80bfd6ba6 : AppleSeed (%APPDATA%\FoxitReader\Service\FoxitReaderUpdate.db)
b5d3e0c3c470d2d41967229e17259c87 : AppleSeed (%APPDATA%\chrome\Service\updategoogle.dll)
4511e57ae1eacdf1c2922bf1a94bfb8d : AppleSeed (%APPDATA%\EastSoft\Control\Service\EastSoftUpdate.dll)
02843206001cd952472abf5ae2b981b2 : AppleSeed (%APPDATA%\FoxitReader\Service\FoxitReaderUpdate.db)
8aeacd58d371f57774e63d217b6b6f98 : AppleSeed (%APPDATA%\Acrobatreader\Service\AcrobatReaderUpdate.db)
cacf04cd560b70eaaf0e75f3da9a5e8f : AppleSeed (%APPDATA%\ProtectSoft\Update\Service\ProtectSoftUpdate.db)
7a7937f8d4dcb335e96db05b2fb64a1b : AppleSeed (%APPDATA%\Abode\Service\AdobeService.dll)
f3a55d49562e41c7d339fb52457513ba : AppleSeed (%APPDATA%\FoxitReader\Service\FoxitReaderUpdate.db)
5d3ab2baacf2ad986ed7542eeabf3dab : AppleSeed Dropper
d4ad31f316dc4ca0e7170109174827cf : AppleSeed Dropper
1f7d2cbfc75d6eb2c4f2b8b7
a3eec1bf : AppleSeed Dropper
ae9593c0c80e55ff49c28e28bf8bc887 : AppleSeed Dropper
b6f17d59f38aba69d6da55ce36406729 : AppleSeed Dropper
153383634ee35b7db6ab59cde68bf526 : AppleSeed Dropper
c560d3371a16ef17dd79412f6ea99d3a : AppleSeed Dropper
0cce02d2d835a996ad5dfc0406b44b01 : AppleSeed Dropper
d94c6323c3f77965451c0b7ebeb32e13 : AlphaSeed (%USERPROFILE%.edge\edgemgmt.dat)
52ff761212eeaadcd3a95a1f8cce4030 : AlphaSeed (%USERPROFILE%.edge\edgemgmt.dat)
4cb843f2a5b6ed7e806c69e6c25a1025 : AlphaSeed (%USERPROFILE%.edge\edgemgmt.dat)
b6ab96dc4778c6704b6def5db448a020 : AlphaSeed (%USERPROFILE%.edge\edgemgmt.dat)
232046aff635f1a5d81e415ef64649b7 : Meterpreter (%PROGRAMDATA%\setting.dat)
58fafabd6ae8360c9d604cd314a27159 : Meterpreter (%SystemRoot%\system32\setting.db)
e582bd909800e87952eb1f206a279e47 : Meterpreter (%SystemRoot%\system32\service.db)
ac99b5c1d66b5f0ddb4423c627ca8333 : Meterpreter
e34669d56a13d607da1f76618eb4b27e : TinyNuke (HVNC)
ee76638004c68cfc34ff1fea2a7565a7 : TightVNC
C&C URL
hxxp://bitburny.kro[.]kr/aha/ : AppleSeed
hxxp://bitthum.kro[.]kr/hu/ : AppleSeed
hxxp://doma2.o-r[.]kr// : AppleSeed
hxxp://my.topton.r-e[.]kr/address/ : AppleSeed
hxxp://nobtwoseb1.n-e[.]kr// : AppleSeed
hxxp://octseven1.p-e[.]kr// : AppleSeed
hxxp://tehyeran1.r-e[.]kr// : AppleSeed
hxxp://update.ahnlaib.kro[.]kr/aha/ : AppleSeed
hxxp://update.doumi.kro[.]kr/aha/ : AppleSeed
hxxp://update.onedrive.p-e[.]kr/aha/ : AppleSeed
hxxp://yes24.r-e[.]kr/aha/ : AppleSeed
104.168.145[.]83:993 : Meterpreter
159.100.6[.]137:993 : Meterpreter
38.110.1[.]69:993 : Meterpreter
107.148.71[.]88:993 : Meterpreter
45.114.129[.]138:33890 : TinyNuke (HVNC)
45.114.129[.]138:5500 : TightVNC
