Kimsuky Hacking Grubu, Algılama Sistemlerinden Kaçınmak için Zararsız Phishing’i Benimsiyor

Kimsuky, araştırmacıları, kurumları ve finansal kuruluşları hedef almak için zararsız phishing taktikleri, Rusya e-posta hizmetleri ve ikna edici siteler kullanır, tespit edilmeyi atlatır.

Araştırmacılar, Güney Kore’de, Kuzey Koreli hacker grubu Kimsukyın taktiklerinde bir değişiklik keşfettiler. Grup, büyük Endpoint Algılama ve Yanıt (EDR) sistemlerini atlatmak için tasarlanmış zararsız phishing saldırıları kullanmaya başlamış durumda. Bu durum, Cyber Security News (CSN) tarafından rapor edildi.

Bu grup, birkaç yıldır aktif olup, Kuzey Kore’ye odaklanan araştırmacıları ve organizasyonları hedef almıştır. Sürekli gelişen stratejileri, tespit edilmekten kaçmayı ve kampanyalarının başarı oranını artırmayı hedefler.

CSN, Kimsuky’nin yaklaşımındaki önemli bir değişikliğin e-posta saldırı yöntemlerini içerdiğini bildiriyor. Daha önce, grup phishing kampanyaları için ağırlıklı olarak Japon e-posta hizmetlerine güveniyordu.

Ancak, son bulgular, hedeflerin şüpheli iletişimleri belirlemesi ve potansiyel tehlikelerden kaçınmasını daha zor hale getiren Rus e-posta hizmetlerine geçiş olduğunu ortaya koymaktadır, diyor CSN.

Kimsuky, daha zor tespit edilebilen ve kötü amaçlı yazılım eklentileri olmayan, dikkatlice hazırlanmış URL tabanlı phishing e-postalarına güvenerek, kötü amaçlı yazılımsız phishing saldırılarını artırmaktadır, CSN’ye göre.

Bu e-postalar genellikle elektronik belge hizmetleri, e-posta güvenlik yöneticileri, kamu kurumları ve finansal organizasyonlar gibi varlıkları taklit eder.

Grubun e-postaları oldukça sofistike olup, sıklıkla tanıdık finansal temaları içerirler. Bu, onların güvenilirliklerini artırır ve kullanıcıların ilgisini çekme olasılığını yükseltir, diyor CSN.

Raporlar, Kimsuky’nin “MyDomain[.]Korea” adlı ücretsiz Kore alan adı kayıt hizmetinden alan adları kullanarak inandırıcı phishing siteleri oluşturduğunu belirtmiştir, diye CSN notlarını düşer.

Genians tarafından ayrıntılı bir şekilde belirtilen faaliyetlerin zaman çizelgesi, grupların alan adı kullanımındaki kademeli değişimi vurgular. Nisan 2024’te Japon ve Amerikan alan adları ile başlayarak Mayıs ayında Kore hizmetlerine geçmiş ve sonunda Eylül ayında uydurma Rus alan adlarını benimsemiştir, diye CSN belirtiyor.

Bu Rusya alan adları, “star 3.0” adında bir phishing aracına bağlanmış ve grubun kampanyalarını güçlendirmek için kaydedilmiştir. Bu saldırılarla ilişkili “1.doc” adında bir dosya, VirusTotal’da işaretlendi ve bazı anti-malware hizmetleri bu dosyanın Kimsuky ile ilişkili olduğunu belirtti, CSN rapor ediyor.

İlginç bir şekilde, grubun “star 3.0” mailer kullanımı, 2021’de belirlenen önceki kampanyalara geri dönüyor. O zamanlar, mailer ABD merkezli bir kurum olan Evangelia Üniversitesi’nin web sitesinde keşfedildi ve Proofpoint tarafından yapılan raporlarda Kuzey Koreli tehdit unsurlarıyla bağlantılı olarak belirtildi.

Kimsuky’nin gelişen taktikleri, potansiyel hedefler arasında uyanıklığın gerekliliğini vurguluyor.

Siber güvenlik uzmanları, özellikle finansal konularla ilgili şüpheli iletişimler üzerinde daha fazla dikkatli olunmasını ve ileri düzey uç nokta savunmalarının benimsenmesini öneriyor.

Grubun yöntemleri hakkında bilgi sahibi olmak ve ortaya çıkan tehditlere yanıt olarak güvenlik politikalarını güncellemek, hassas bilgileri korumak ve sağlam siber güvenlik önlemleri sürdürmek için hayati önem taşır.