Haziran 2025'te, siber güvenlik topluluğu sarsıldı. Kötü şöhretli Kuzey Koreli hacker grubu Kimsuky APT'nin bir üyesi, yüzlerce gigabayt hassas iç dosya, araç ve operasyonel detayları ortaya çıkaran büyük bir veri ihlalinin kurbanı oldu.
Slow Mist'ten güvenlik uzmanlarına göre, sızdırılan veriler arasında tarayıcı geçmişleri, ayrıntılı kimlik avı kampanya kayıtları, özel arka kapılar ve TomCat çekirdek arka kapısı gibi saldırı sistemleri için kılavuzlar, modifiye edilmiş Cobalt Strike sinyalleri, Ivanti RootRot açığı ve Toybox gibi Android zararlıları yer alıyordu.
İki Kompromize Sistem ve Hacker “KIM”
İhlal, "KIM" olarak bilinen bir kişi tarafından işletilen iki tehlikeye atılmış sistemle bağlantılıydı - biri bir Linux geliştirici iş istasyonu (Deepin 20.9), diğeri ise herkese açık bir VPS sunucusuydu.
Linux sistemi muhtemelen kötü amaçlı yazılım geliştirmek için kullanıldı, VPS ise kimlik avı materyalleri, sahte giriş portalları ve komut ve kontrol (C2) altyapısını barındırıyordu.
Sızıntı, kendilerini "Saber" ve "cyb0rg" olarak tanıtan hackerlar tarafından gerçekleştirildi ve her iki sistemin içeriğini çaldıklarını ve yayımladıklarını iddia ettiler. Bazı deliller "KIM"i bilinen Kimsuky altyapısına bağlasa da, dilsel ve teknik göstergeler olası bir Çin bağlantısını da öne sürüyor, bu da gerçek kökeni belirsiz bırakıyor.
Uzun Bir Siber Casusluk Tarihi
Kimsuky, en az 2012'den beri aktif olup, Kuzey Kore'nin ana istihbarat ajansı olan Keşif Genel Bürosu ile bağlantılıdır. Uzun zamandır hükümetleri, düşünce kuruluşlarını, savunma müteahhitlerini ve akademiyi hedef alan siber casuslukta uzmanlaşmıştır.
2025 yılında, DEEP#DRIVE gibi kampanyaları çok aşamalı saldırı zincirlerine dayanıyordu. Genellikle, belgeler olarak gizlenmiş LNK kısayol dosyaları içeren ZIP arşivleri ile başlıyordu. Açıldığında, Dropbox gibi bulut hizmetlerinden kötü niyetli yükleri indirmek için PowerShell komutları çalıştırıyordu ve meşru görünmek için sahte belgeler kullanıyordu.
Gelişmiş Teknikler ve Araçlar
2025 baharında, Kimsuky, ZIP arşivlerinin içinde gizli VBScript ve PowerShell karışımını dağıttı:
Tuş vuruşlarını kaydetKopya panosu verilerini çalTarayıcılardan kripto para cüzdan anahtarlarını topla (Chrome, Edge, Firefox, Naver Whale)
Saldırganlar, DLL tabanlı kötü amaçlı yazılımları doğrudan belleğe yüklemek için mshta.exe'yi çalıştıran kötü niyetli LNK dosyalarını VBScript'lerle birleştirdi. Gizli uzaktan erişimi sağlamak için özel RDP Wrapper modülleri ve proxy kötü amaçlı yazılımlar kullandılar.
forceCopy gibi programlar, standart şifre erişim uyarılarını tetiklemeksizin tarayıcı yapılandırma dosyalarından kimlik bilgilerini çıkardı.
Güvenilir Platformların Sömürülmesi
Kimsuky, popüler bulut ve kod barındırma platformlarını istismar etti. Haziran 2025'te Güney Kore'yi hedef alan bir oltalama kampanyasında, özel GitHub depoları kötü amaçlı yazılım ve çalınan verileri depolamak için kullanıldı.
Kötü amaçlı yazılım teslim ederek ve Dropbox ile GitHub aracılığıyla dosyaları dışarı sarkıtarak, grup meşru ağ trafiği içinde faaliyetlerini gizlemeyi başardı.
Bir adım önde olun – profilimizi takip edin ve kripto para dünyasındaki her şeyden haberdar olun!
Duyuru:
,,Bu makalede sunulan bilgiler ve görüşler yalnızca eğitim amaçlıdır ve herhangi bir durumda yatırım tavsiyesi olarak alınmamalıdır. Bu sayfaların içeriği finansal, yatırım veya başka bir tür tavsiye olarak değerlendirilmemelidir. Kripto para birimlerine yatırım yapmanın riskli olabileceğini ve mali kayıplara yol açabileceğini belirtiriz.“
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Kuzey Koreli Kimsuky, Büyük Veri Sızıntısı ile Açığa Çıktı
Haziran 2025'te, siber güvenlik topluluğu sarsıldı. Kötü şöhretli Kuzey Koreli hacker grubu Kimsuky APT'nin bir üyesi, yüzlerce gigabayt hassas iç dosya, araç ve operasyonel detayları ortaya çıkaran büyük bir veri ihlalinin kurbanı oldu. Slow Mist'ten güvenlik uzmanlarına göre, sızdırılan veriler arasında tarayıcı geçmişleri, ayrıntılı kimlik avı kampanya kayıtları, özel arka kapılar ve TomCat çekirdek arka kapısı gibi saldırı sistemleri için kılavuzlar, modifiye edilmiş Cobalt Strike sinyalleri, Ivanti RootRot açığı ve Toybox gibi Android zararlıları yer alıyordu.
İki Kompromize Sistem ve Hacker “KIM” İhlal, "KIM" olarak bilinen bir kişi tarafından işletilen iki tehlikeye atılmış sistemle bağlantılıydı - biri bir Linux geliştirici iş istasyonu (Deepin 20.9), diğeri ise herkese açık bir VPS sunucusuydu.
Linux sistemi muhtemelen kötü amaçlı yazılım geliştirmek için kullanıldı, VPS ise kimlik avı materyalleri, sahte giriş portalları ve komut ve kontrol (C2) altyapısını barındırıyordu. Sızıntı, kendilerini "Saber" ve "cyb0rg" olarak tanıtan hackerlar tarafından gerçekleştirildi ve her iki sistemin içeriğini çaldıklarını ve yayımladıklarını iddia ettiler. Bazı deliller "KIM"i bilinen Kimsuky altyapısına bağlasa da, dilsel ve teknik göstergeler olası bir Çin bağlantısını da öne sürüyor, bu da gerçek kökeni belirsiz bırakıyor.
Uzun Bir Siber Casusluk Tarihi Kimsuky, en az 2012'den beri aktif olup, Kuzey Kore'nin ana istihbarat ajansı olan Keşif Genel Bürosu ile bağlantılıdır. Uzun zamandır hükümetleri, düşünce kuruluşlarını, savunma müteahhitlerini ve akademiyi hedef alan siber casuslukta uzmanlaşmıştır. 2025 yılında, DEEP#DRIVE gibi kampanyaları çok aşamalı saldırı zincirlerine dayanıyordu. Genellikle, belgeler olarak gizlenmiş LNK kısayol dosyaları içeren ZIP arşivleri ile başlıyordu. Açıldığında, Dropbox gibi bulut hizmetlerinden kötü niyetli yükleri indirmek için PowerShell komutları çalıştırıyordu ve meşru görünmek için sahte belgeler kullanıyordu.
Gelişmiş Teknikler ve Araçlar 2025 baharında, Kimsuky, ZIP arşivlerinin içinde gizli VBScript ve PowerShell karışımını dağıttı: Tuş vuruşlarını kaydetKopya panosu verilerini çalTarayıcılardan kripto para cüzdan anahtarlarını topla (Chrome, Edge, Firefox, Naver Whale) Saldırganlar, DLL tabanlı kötü amaçlı yazılımları doğrudan belleğe yüklemek için mshta.exe'yi çalıştıran kötü niyetli LNK dosyalarını VBScript'lerle birleştirdi. Gizli uzaktan erişimi sağlamak için özel RDP Wrapper modülleri ve proxy kötü amaçlı yazılımlar kullandılar. forceCopy gibi programlar, standart şifre erişim uyarılarını tetiklemeksizin tarayıcı yapılandırma dosyalarından kimlik bilgilerini çıkardı.
Güvenilir Platformların Sömürülmesi Kimsuky, popüler bulut ve kod barındırma platformlarını istismar etti. Haziran 2025'te Güney Kore'yi hedef alan bir oltalama kampanyasında, özel GitHub depoları kötü amaçlı yazılım ve çalınan verileri depolamak için kullanıldı.
Kötü amaçlı yazılım teslim ederek ve Dropbox ile GitHub aracılığıyla dosyaları dışarı sarkıtarak, grup meşru ağ trafiği içinde faaliyetlerini gizlemeyi başardı.
#NorthKoreaHackers , #siber saldırılar, #CyberSecurity , #oltalama dolandırıcılığı, #dünyadan haberler
Bir adım önde olun – profilimizi takip edin ve kripto para dünyasındaki her şeyden haberdar olun! Duyuru: ,,Bu makalede sunulan bilgiler ve görüşler yalnızca eğitim amaçlıdır ve herhangi bir durumda yatırım tavsiyesi olarak alınmamalıdır. Bu sayfaların içeriği finansal, yatırım veya başka bir tür tavsiye olarak değerlendirilmemelidir. Kripto para birimlerine yatırım yapmanın riskli olabileceğini ve mali kayıplara yol açabileceğini belirtiriz.“