Kimsuky اخیرا در حملاتی مشاهده شده است که از فیشینگ هدفمند به منظور ارائه مجموعهای از بکدورها و ابزارهایی مانند AppleSeed، Meterpreter و TinyNuke برای ایجاد دسترسی و کنترل ماشینهای هک شده استفاده میکند.
گروه تهدید Kimsuky (کیمسوکی) تحت حمایت کره شمالی، از سال ۲۰۱۳ فعال میباشد. این گروه در ابتدا، پیش از حمله به یک شرکت انرژی کره جنوبی در سال ۲۰۱۴، به مؤسسات تحقیقاتی مرتبط با کره شمالی در کره جنوبی حمله کرد و از سال ۲۰۱۷ نیز حمله سایبری به سایر کشورها را سازمان دهی کرده است.
Kimsuky معمولاً از حملات فیشینگ هدفمند حاوی اسناد طعمه فریبنده مخرب برای ایجاد دسترسی اولیه استفاده میکند، که پس از باز شدن، به استقرار خانوادههای مختلف بدافزار منجر میشوند. با این حال، اکثر حملات اخیر این گروه شامل استفاده از بدافزار نوعshortcut در فرمت فایل LNK است. اگرچه بدافزار LNK بخش بزرگی از حملات اخیر را تشکیل میدهد، اما مواردی که از جاوا اسکریپت یا اسناد مخرب استفاده میکنند نیز شناسایی شده است. سرقت اطلاعات و فناوری داخلی از سازمانهایی همچون صنایع دفاعی، رسانه، دیپلماسی، سازمانهای ملی و بخشهای دانشگاهی از جمله اهداف حملات این گروه میباشد.
نکته قابل توجه در مورد حملاتی که از AppleSeed استفاده میکنند این است که متدهای اتخاذ شده مشابه حملات سالهای قبل هستند و تغییر قابل توجهی در آنها مشاهده نشده است. AppleSeed (معروف به JamBog) یکی از این بکدورهای برجسته مبتنی بر ویندوز است که توسط Kimsuky استفاده میگردد. این بکدور یک بدافزار DLL میباشد که در اوایل ماه مِی ۲۰۱۹ مورد استفاده قرارگرفته و با نسخه اندروید و همچنین نسخه جدیدی به نام AlphaSeed که به زبان Golang نوشته شده، بهروزرسانی شده است.
AppleSeed برای دریافت دستورالعملها از یک سرور تحت کنترل مهاجم، استقرار پیلودهای اضافی و گیلاگر، استخراج دادههای حساس مانند فایلها و تصاویر طراحی شده است. AlphaSeed، مانند AppleSeed، دارای ویژگیهای مشابهی است، اما دارای برخی تفاوتهای اساسی نیز میباشد.
AlphaSeed در Golang توسعه داده شده است و از chromedp برای ارتباط با سرور [فرمان و کنترل] استفاده میکند، اما AppleSeed بر استفاده از پروتکلهای HTTP یا SMTP متکی است. Chromedp یک کتابخانه محبوب Golang برای تعامل با مرورگر گوگل کروم در حالت headless توسط پروتکل DevTools میباشد.
شواهدی وجود دارد که نشان میدهد، Kimsuky از اکتبر ۲۰۲۲ از AlphaSeed در حملات استفاده نموده و در برخی نفوذها، AppleSeed و AlphaSeed با استفاده از یک نصب کننده بدافزار جاوا اسکریپت بر روی سیستم هدف مشابه تحویل داده شدهاند.
بدافزارهای Meterpreter و VNC مانند TightVNC و TinyNuke (معروف به ربات Nuclear) توسط مهاجم مستقر میشوند و میتوانند برای کنترل سیستم آسیبدیده مورد استفاده قرار گیرند.
عوامل تهدید کره شمالی، در سالهای اخیر، مجموعهای از حملات چند جانبه را آغاز کردند که تاکتیکهای جدید و ضعفهای زنجیره تامین را برای نفوذ به شرکتهای بلاکچین و ارزهای دیجیتال به منظور تسهیل سرقت داراییهای معنوی و مجازی مورد توجه قرار دادهاند. ماهیت پربار و تهاجمی این حملات به راههای مختلفی که این کشور برای فرار از تحریمهای بینالمللی و سود غیرقانونی از این طرحها متوسل شده است، اشاره دارد.
به عنوان یک اقدام موثر کاربران میبایست فرستنده ایمیل را به دقت مورد بررسی قرار دهند و از باز کردن فایلها از منابع ناشناس خودداری کنند. کاربران همچنین باید آخرین پچ را برای سیستم عامل و برنامههایی مانند مرورگرهای وب خود اعمال نمایند.
