خانه » سوء استفاده گروه Kimsuky کره شمالی از فایل های راهنمای HTML کامپایل شده

سوء استفاده گروه Kimsuky کره شمالی از فایل های راهنمای HTML کامپایل شده

توسط Vulnerbyte
167 بازدید
گروه Kimsuky کره شمالی

گروه مرتبط با کره شمالی معروف به Kimsuky  (کیمسوکی) در حال تغییر تاکتیک‌های خود مشاهده شده است. گروه Kimsuky اخیرا از فایل‌های CHM (Compiled HTML Help یا راهنمای HTML کامپایل شده) ویندوز به عنوان بُرداری برای ارائه بدافزار به منظور جمع آوری داده های حساس استفاده کرده است.

گروه Kimsuky که حداقل از سال 2012 فعال می‌باشد، نهادهای واقع در کره جنوبی، آمریکای شمالی، آسیا و اروپا را مورد هدف قرار می‌دهد.

طبق گزارش Rapid7، زنجیره‌ حمله از اسناد مایکروسافت آفیس، فایل‌های ISO و فایل‌های شورتکات ویندوز (LNK) استفاده می‌کند و این گروه همچنین از فایل‌های CHM برای استقرار بدافزار در میزبان‌های هک شده استفاده می‌نماید. این شرکت امنیت سایبری با استناد به شواهد مشابهی که در گذشته مشاهده شده، این فعالیت را به گروه Kimsuky نسبت داده است.

در حالی که فایل‌های CHM در ابتدا برای اسناد کمکی طراحی شده بودند، برای اهداف مخرب مانند توزیع بدافزارها نیز مورد سوء استفاده قرار گرفته‌اند، زیرا می‌توانند هنگام باز شدن، جاوا اسکریپت را اجرا کنند.

فایل CHM در یک فایل ISO، VHD، ZIP یا RAR منتشر می‌گردد و زمانی که باز می‌شود یک اسکریپت ویژوال بیسیک (VBScript) را اجرا می‌کند تا تداوم دسترسی را تنظیم کرده و با یک سرور راه دور به منظور دریافت پیلود مرحله بعد که مسئول جمع‌آوری و استخراج داده های حساس است، ارتباط برقرار کند.

زنجیره نفوذ گروه Kimsuky در سوء استفاه از از فایل های راهنمای HTML کامپایل شده
شکل ۱- زنجیره نفوذ گروه Kimsuky در سوء استفاه از از فایل های راهنمای HTML کامپایل شده

Rapid7 این حملات را ادامه دار و در حال توسعه توصیف کرد که سازمان‌های مستقر در کره جنوبی را مورد هدف قرار داده است. همچنین یک زنجیره نفوذ جایگزین شناسایی شده است که از یک فایل CHM برای استقرار فایل‌های batch  که وظیفه جمع‌آوری اطلاعات را دارند و یک اسکریپت PowerShell برای اتصال به سرور C2، استفاده می‌کند.

فایل CHM
شکل ۲- فایل CHM شامل فایل ها و ساختار فوق می باشد

نحوه عملیات و استفاده مجدد از کدها و ابزارها نشان می‌دهد که هکرها بصورت فعالانه از تکنیک‌ها و تاکتیک‌های خود برای جمع‌آوری اطلاعات از قربانیان استفاده می‌کنند.

این توسعه زمانی انجام شد که سیمانتک فاش کرد که هکرهای گروه Kimsuky در حال توزیع بدافزارهایی هستند که پس از نفوذ به سیستم قربانی، با استقرار یک بکدور به نام Endoor ، خواهند توانست اطلاعات حساس را از سیستم قربانی جمع‌آوری و یا بدافزار اضافی نصب کنند.

این یافته‌ها در بحبوحه تحقیقاتی که توسط سازمان ملل در مورد 58 حمله سایبری مشکوک توسط گروه های تحت حمایت کره شمالی بین سال‌های 2017 تا 2023 انجام شده است، بدست آمده‌اند که منجر به 3 میلیارد دلار درآمد غیرقانونی برای کمک به توسعه بیشتر برنامه تسلیحات هسته‌ای این کشور شده است.

توانایی گروه Kimsuky برای انطباق و بهره برداری از فایل های راهنما ویندوز یادآور چشم انداز در حال تحول تهدیدات سایبری است. سازمان ها می‌بایست در امنیت سایبری هوشیار و فعال باقی بمانند تا در برابر چنین حملات پیچیده‌ای محافظت شوند. حجم بالای حملات سایبری توسط Kimsuky همچنان ادامه دارد. روندها شامل نفوذ به شرکت‌های دفاعی و زنجیره های تامین است. Kimsuky به استفاده از هوش مصنوعی مولد، از جمله مدل های زبان بزرگ (LLM)، به طور بالقوه برای کدنویسی یا نوشتن ایمیل‌های فیشینگ علاقه نشان داده است.

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید