هشدارهای افتایی
Kimsuky – که با نام‌های Black Banshee و Thallium نیز شناخته می‌شود – یکی از گردانندگان تهدیدهای پیشرفته و مستمر (Advanced Persistent Threat – به اختصار APT) است که به گفته برخی منابع از سال 2012 فعال بوده است.
به گزارش معاونت بررسی مرکز افتا به نقل از سایت thehackernews، یافته‌های جدید شرکت Cybereason از  یک بدافزار سارق اطلاعات و یک ابزار پیشرفته ضدتحلیل و بخشی از یک زیرساخت که همگی مورد استفاده این مهاجمان قرار گرفته‌اند و تا پیش از این جزییات آنها به‌صورت عمومی منتشر نشده بود پرده برمی‌دارد.
این گروه منتسب به مهاجمان کره شمالی اجرای عملیات‌های سایبری بر ضد اندیشکده‌های کره جنوبی را در کارنامه دارد. در چند سال گذشته هم Kimsuky دامنه کشورهای هدف خود را به ایالات متحده، روسیه و چندین کشور اروپایی گسترش داده است.
به‌تازگی نیز چندین نهاد امنیتی ایالات متحده در گزارش مشترک زیر به تحلیل تاکتیک‌ها، تکنیک‌ها و رویه‌های (TTP) مورد استفاده Kimsuky پرداختند: این گروه با بهره‌گیری از حملات فیشینگ هدفمند (Spear-phishing) و ترفندهای مهندسی اجتماعی اقدام به رخنه اولیه و آلوده‌سازی دستگاه افراد متخصص در حوزه‌های مختلف و سیستم‌های اندیشکده‌ها، صنعت ارز رمز و نهادهای دولتی کره جنوبی می‌کند. در مواردی نیز Kimsuky ایمیل‌های ناقل بدافزار BabyShark را که در آنها وانمود می‌شده که فرستنده روزنامه‌نگاری اهل کره جنوبی است به اهداف خود ارسال می‌کرده است.
 

در ماه‌های اخیر Kimsuky با بهره‌جویی از همه‌گیری کرونا و سوءاستفاده از موضوعات مرتبط با آن اقدام به ارسال اسناد Word مخرب به اهداف خود به‌منظور رخنه به سیستم‌ها و اجرای حملات بدافزاری کرده است.
به‌طور کلی Kimsuky بر روی جمع‌آوری اطلاعات در حوزه‌هایی همچون سیاست خارجی، موضوعات امنیت ملی مرتبط با شبه جزیره کره، سیاست هسته‌ای و تحریم‌ها تمرکز دارد.
بر اساس گزارشی که Cybereason آن را منتشر کرده Kimsuky با بکارگیری قابلیت‌های یک ماژول جاسوسی با نام KGH_SPY شبکه‌های هدف را شناسایی و کلیدهای فشرده شده توسط قربانی را ثبت و اطلاعات حساس را سرقت می‌کرده است.
علاوه بر آن درب‌پشتی KGH_SPY امکان دریافت کدهای مخرب دیگر از سرور فرماندهی (C2)، اجرای کدهای دودویی توسط cmd.exe یا PowerShell و حتی استخراج اطلاعات اصالت‌سنجی از مرورگرهای وب، Windows Credential Manager، ابزار WINSCP و نرم‌افزارهای مدیریت ایمیل را برای مهاجمان فراهم می‌کرده است.
محققان Cybereason بدافزار جدیدی با عنوان CSPY Downloader را نیز شناسایی کرده‌اند که این گروه از آن جهت بی‌اثر کردن محصولات تحلیلگر و دریافت کدهای مخرب استفاده می‌کرده است.
و در نهایت اینکه Cybereason زیرساختی را که در فاصله 2019 تا 2020 ثبت شده را کشف کرده که احتمالا توسط یکی از بدافزارهای این گروه با نام BabyShark در جریان حمله به اندیشکده‌های ایالات متحده مورد استفاده قرار گرفته بوده است.
Kimsuky با بهره‌گیری از تکنیک‌های ضدجرم‌شناسی و ضدتحلیل نظیر جعل تاریخ ایجاد/کامپایل بدافزارها، مبهم‌سازی کد، عدم اجرا در بسترهای مجازی و قابلیت‌های موسوم به ضددیباگ بسیار تلاش کرده که فعالیت‌های خود را مخفی نگاه دارند. 
بر پایه برخی شواهد احتمال داده می‌شود که زیرساخت‌های هدف کارزاری که در گزارش Cybereason به آن پرداخته شده، سازمان‌های فعال در رسیدگی به نقض حقوق بشر بوده‌اند.
مشروح گزارش Cybereason در لینک زیر قابل دریافت و مطالعه است:
نشانه آلودگی (IoC):
نشانی‌های اینترنتی
http://csv.posadadesantiago[.]com/home?act=news&id=[Machine_name]
http://csv.posadadesantiago[.]com/home?id=[Machine_name]&act=upf&ver=x64
http://csv.posadadesantiago[.]com/home?id=[Machine_name]&act=tre&ver=x64
http://csv.posadadesantiago[.]com/home?id=[Machine_name]&act=wbi&ver=x64
http://csv.posadadesantiago[.]com/home?id=[Machine_name]&act=cmd&ver=x64
http://csv.posadadesantiago[.]com/home?id=[Machine_name]&act=pws&ver=x64
http://csv.posadadesantiago[.]com/home?id=[Machine_name]&act=sbk&ver=x64
http://csv.posadadesantiago[.]com/home/up.php?id=[Machine_name]
http://myaccounts.posadadesantiago[.]com/test/Update.php?wShell=201
http://wave.posadadesantiago[.]com/home/dwn.php?van=10860
http://wave.posadadesantiago[.]com/home/dwn.php?van=101
http://wave.posadadesantiago[.]com/home/dwn.php?van=102

دامنه‌ها
csv.posadadesantiago[.]com
wave.posadadesantiago[.]com
myaccounts.posadadesantiago[.]com
www.eventosatitlan[.]com

نشانی IP
173.205.125.124

درهم‌ساز
97d4898c4e70335f0adbbace34593236cb84e849592e5971a797554d3605d323
d88c5695ccd83dce6729b84c8c43e8a804938a7ab7cfeccaa0699d6b1f81c95c
7af3930958f84e0b64f8297d1a556aab359bb65691208dc88ea4fc9698250c43
252d1b7a379f97fddd691880c1cf93eaeb2a5e5572e92a25240b75953c88736c
Bcf4113ec8e888163f1197a1dd9430a0df46b07bc21aba9c9a1494d2d07a2ba9
af13b16416760782ec81d587736cb4c9b2e7099afc10cb764eeb4c922ee8802f
E4d28fd7e0fc63429fc199c1b683340f725f0bf9834345174ff0b6a3c0b1f60e
66fc8b03bc0ab95928673e0ae7f06f34f17537caf159e178a452c2c56ba6dda7
f989d13f7d0801b32735fee018e816f3a2783a47cff0b13d70ce2f1cbc754fb9
Fa282932f1e65235dc6b7dba2b397a155a6abed9f7bd54afbc9b636d2f698b4b
65fe4cd6deed85c3e39b9c1bb7c403d0e69565c85f7cd2b612ade6968db3a85c
7158099406d99db82b7dc9f6418c1189ee472ce3c25a3612a5ec5672ee282dc0
e9ea5d4e96211a28fe97ecb21b7372311a6fa87ce23db4dd118dc204820e011c

منبع:

(با سپاس از شرکت مهندسی شبکه گستر برای همکاری در تهیه این گزارش)

 

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.