Kuzey Kore devlet destekli hackleme grubu APT37 (diğer adıyla Scarcruft, Reaper), kötü niyetli LNK dosyalarını dağıtmak için grup sohbet platformlarını kaldıran tanımlanmıştır.
Bu son taktik, grubun sistemlere sızmak ve hassas verileri yaymak için gelişen yöntemlerini vurgular.
APT37’nin son kampanyası, popüler mesajlaşma platformlarındaki grup sohbetleri aracılığıyla kötü amaçlı LNK dosyaları göndermeyi içerir.
Bu dosyalar genellikle zip arşivlerine gömülür ve hedefleri aldatmak için tanıdık simgeler ve dosya adları ile gizlenir.
Örneğin, saldırganlar kurbanları dosyayı açmaya teşvik etmek için “Çin hükümetinin Kuzey Kore Politikasında Değişiklikler” gibi dosya adları kullandılar.
Yerli analistler, bir kez yürütüldüğünde, LNK dosyasının çok aşamalı bir enfeksiyon zincirini başlatan bir PowerShell komutunu tetiklediğini tespit ettiler.
.webp)
Komut, genellikle Rokrat kötü amaçlı yazılımlarının dağıtılmasına yol açan gömülü komut dosyalarını çözer ve yürütür.
Rokrat, veri açığa çıkma, ekran yakalama ve uzaktan komut yürütme yeteneğine sahip güçlü bir uzaktan erişim Trojan (sıçan).
Saldırı analizi
Kötü niyetli LNK dosyaları, gizli komut dosyalarını yürüten gömülü PowerShell komutları içerir.
Bu komut dosyası geçici bir dosyadan kötü amaçlı bir yük okur (bus.dat), kod çözer ve bellekte yürütür.
Bu tür evli olmayan yürütme teknikleri geleneksel antivirüs tespitinden kaçınır.
.webp)
APT37, güvenilir bireyleri veya kuruluşları taklit ederek sosyal mühendislik taktiklerini kullanır. Örneğin, saldırganlar jeopolitik raporlar veya ders materyalleri gibi temaları yem olarak kullandılar.
Bu dosyalar genellikle meşru görünür, ancak etkileşim üzerine etkinleştirilen gömülü ole nesneleri veya komut dosyaları içerir.
Bu saldırılardaki birincil yük genellikle Rokrat veya benzeri kötü amaçlı yazılım varyantlarıdır. Temel özellikler şunları içerir:-
- Veri Defiltrasyonu: Kimlik bilgilerini, ekran görüntülerini ve hassas dosyaları çalmak.
- Uzaktan kumanda: Enfekte sistemlerde komutlar yürütme.
- Kalıcılık: Yeniden başlatıldıktan sonra yürütme için ek yükleri başlangıç klasörlerine bırakma.
APT37 ayrıca, komut ve kontrol (C2) işlemleri için PCLOUD ve OneDrive gibi bulut hizmetlerinden yararlanır ve tespit çabalarını daha da karmaşıklaştırır.
Bu tür tehditlere karşı savunmak için, Filless kötü amaçlı yazılım yürütme gibi anormal davranışları tespit edebilen uç nokta algılama ve yanıt (EDR) çözümlerini dağıtın.
Buna ek olarak, kullanıcıları güvenilir kişilerden bile istenmeyen dosyaları açma riskleri hakkında eğitin ve “.pdf.lnk” gibi şüpheli çift uzantıları kolayca tanımlamak için “Bilinen dosya türleri için uzantıları gizleyin” ayarını devre dışı bırakın.
APT37’nin grup sohbetlerini bir teslimat mekanizması olarak kullanması, Güney Koreli varlıkları ve ötesini hedeflemede uyarlanabilirliklerini ve kalıcılığını vurgulamaktadır. Kuruluşlar uyanık kalmalı ve bu tür gelişmiş kalıcı tehditlere karşı koymak için proaktif siber güvenlik önlemleri almalıdır.
Uzlaşma Göstergeleri (IOCS)
Güvenlik araştırmacıları bu kampanyayla ilgili birkaç IOC belirlediler:-
- MD5 Hashes:
1a70a013a56673f25738cf145928d0f5–1c3bb05a03834f56b0285788d988aae4 - C2 Sunucular:
172.86.115[.]125–mailattachmentimageurlxyz[.]site
Are you from SOC/DFIR Teams? – Analyse Malware Files & Links with ANY.RUN Sandox -> Start Now for Free.