گروه Kimsuky کره شمالی، مؤسسات تحقیقاتی کره جنوبی را توسط بکدور مورد هدف قرار داد

گروه سایبری کره شمالی معروف به Kimsuky (کیمسوکی) اخیرا موسسات تحقیقاتی کره جنوبی را به عنوان بخشی از یک کمپین فیشینگ هدفمند با هدف توزیع بکدور در سیستم‌های آن مورد هدف قرار داده است. مرکز پاسخگویی اضطراری امنیتی AhnLab (ASEC) طی گزارشی در سی‌اُم نوامبر ۲۰۲۳ اذعان داشت که عامل تهدید از یک بکدور برای ربودن اطلاعات و اجرای دستورات استفاده می‌کند.

زنجیره‌ حمله توسط یک فایل طعمه فریبنده آغاز می‌شود که در واقع یک فایل JSE مخرب می‌باشد که حاوی یک اسکریپت مبهم PowerShell، یک پیلود رمزگذاری شده با Base64 و یک سند PDF طعمه است. مرحله بعدی شامل باز کردن فایل PDF به عنوان یک تاکتیک انحرافی است، در حالی که اسکریپت PowerShell در پس ‌زمینه اجرا می‌گردد تا بکدور راه‌ اندازی شود.

بدافزار، به نوبه خود، برای جمع آوری اطلاعات شبکه و سایر داده های مرتبط (به عنوان مثال، نام میزبان، نام کاربری و نسخه سیستم عامل) پیکربندی شده است و داده های رمزگذاری شده را به یک سرور راه دور منتقل می‌کند. بدافزار همچنین می‌‌تواند دستورات و پیلودهای اضافی را اجرا کند، خود را خاتمه دهد و آن را به یک بکدور برای دسترسی از راه دور به میزبان تحت نفوذ تبدیل نماید.

Kimsuky که حداقل از سال ۲۰۲۱ فعال می‌باشد، اخیرا اقدام به نفوذ به نهادهای دولتی کره جنوبی، پژوهشکده‌ها و افراد متخصص در زمینه ‌های مختلف کرده است و همچنین با گسترش قلمرو نفوذ خود، قربانیانی را از اروپا، روسیه و ایالات متحده آمریکا مورد هدف قرار داده است.

وزارت خزانه ‌داری آمریکا، Kimsuky  را در اوایل ماه دسامبر ۲۰۲۳، به دلیل جمع ‌آوری اطلاعات برای حمایت از اهداف استراتژیک کره شمالی، از جمله رویدادهای ژئوپلیتیک، سیاست خارجی و تلاش‌های دیپلماتیک، تحریم کرد.

شرکت امنیت سایبری ThreatMon در گزارش اخیر خود خاطرنشان کرد که Kimsuky  فعالیت‌‌های جمع‌ آوری اطلاعات خود را بر سیاست خارجی و مسائل امنیت ملی مرتبط با شبه جزیره کره، سیاست هسته‌ای و تحریم‌‌ها متمرکز کرده است.

Kimsuky همچنین از URLهای مخربی استفاده می‌کند که با کلیک بر روی آنها، یک فایل آرشیو ZIP جعلی در قالب یک به روزرسانی مرورگر کروم دانلود می‌شود تا یک VBScript مخرب را از Google Drive بر روی سیستم قربانی مستقر نماید که از فضای ذخیره سازی ابری به عنوان مجرایی برای استخراج داده‌ها و سرور فرمان و کنترل (C2) استفاده کند.

حملات فیشینگ گروه Lazarus در تلگرام

این توسعه زمانی صورت می‌پذیرد که شرکت امنیتی بلاکچین SlowMist، گروه بدنام تحت حمایت کره شمالی به نام Lazarus  (لازاروس) را در یک کمپین فیشینگ گسترده در تلگرام که بخش ارزهای دیجیتال را مورد هدف قرار داده بود، شناسایی کرد. این هکرها اخیراً، تاکتیک‌های خود را با معرفی به عنوان موسسات سرمایه گذاری معتبر برای اجرای کلاهبرداری‌های فیشینگ علیه تیم های مختلف پروژه ارزهای دیجیتال گسترش داده‌اند. قربانیان مورد نظر، پس از برقراری ارتباط، فریب داده می‌شوند تا یک اسکریپت مخرب را به بهانه اشتراک ‌گذاری یک لینک نشست آنلاین که ربودن کریپتو (رمز ارز) را تسهیل می‌‌بخشد، دانلود کنند.

آژانس پلیس کلان شهر سئول (SMPA) همچنین طی گزارشی گروه زیرمجموعه Lazarus با نام رمز Andariel را به ربودن اطلاعات فنی درباره سیستم‌های تسلیحات ضد هوایی از شرکت‌های دفاعی داخلی و پول ‌شویی درآمدهای باج ‌افزاری به کره شمالی متهم ساخت.

تخمین زده می‌شود که بیش از ۲۵۰ فایل به حجم ۱.۲ ترابایت در این حملات ربوده شده است. گفته می‌شود که مهاجم به منظور پنهان ساختن مسیرها از سرورهای یک شرکت محلی به عنوان نقطه ورود استفاده کرده است. این شرکت، سرورهایی را به مشترکین با هویت نامشخص اجاره می‌دهد.

Lazarus همچنین، ۳۵۶ هزار دلار بیت کوین را طی حملات باج افزاری از سه شرکت کره جنوبی اخاذی نموده و این وجوه را از طریق مبادلات دارایی مَجازی مانند Bithumb و Binance پولشویی کرده است. شایان ذکر است که Andariel در گذشته با استقرار باج افزار Maui مرتبط بوده است.

منابع