Scarcruft olarak da bilinen Kuzey Kore devlet destekli hack grubu Apt37, Kuzey Kore sorunlarına odaklanan aktivistleri hedefleyen bir mızrak kimlik avı kampanyası başlattı.
Genel Kampanya tarafından “Operasyon: TOYBOX HİKAYESİ” olarak adlandırılan bu kampanya, başta Dropbox olmak üzere meşru bulut hizmetlerini, algılamadan kaçınmak için komut ve kontrol (C2) altyapısı olarak kullandı.
Saldırganlar, kimlik avı e -postaları aracılığıyla meşru belgeler olarak gizlenmiş kötü amaçlı kısayol (LNK) dosyaları teslim ederek kurbanları Rusya’daki Kuzey Kore birlik dağıtımları ve bir Güney Koreli düşünce kuruluşu tarafından düzenlenen hayali bir Ulusal Güvenlik Konferansı ile ilgili özel içerikle çekti.
.png
)
Bu e -postalar, çıkarıldığında, veri açığa çıkması ve sistem keşifleri için tasarlanmış kötü niyetli Rokrat kötü amaçlı yazılımı da dahil olmak üzere kötü amaçlı yükler yürüten ZIP arşivlerine Dropbox bağlantıları içeriyordu.
Kampanya Kuzey Kore aktivistlerini hedefliyor
APT37’nin saldırısının teknik karmaşıklığı, sözlü olmayan kötü amaçlı yazılım tekniklerini kullanımında, diskte algılanabilir ayak izleri bırakmadan gizli PowerShell komutlarını yürütmek için silahlandırılmış LNK dosyalarını kullanıyor.
Yürütme üzerine, bu LNK dosyaları çok aşamalı bir enfeksiyon sürecini tetikler, % Temp % dizininde geçici dosyalar oluşturur ve meşruiyet yanılsamasını korumak için tuzak belgelerini dağıtır.
Rokrat olarak tanımlanan yük, sistem bilgileri toplama (işletim sistemi oluşturma sürümü, cihaz adı ve BIOS detayları gibi), onaltılık adlı geçici dosyalar olarak kaydedilen gerçek zamanlı ekran görüntüsü yakalama ve Dropbox, PCLOUD ve YANDEX gibi bulut tabanlı C2 sunucularına şifreli veri söndürme dahil olmak üzere gelişmiş davranış sergiler.
Rokrat yük analizi
Kötü amaçlı yazılım, C2 uç noktaları ile güvenli iletişim sağlayan XOR Obfusation, AES-CBC-128 ve RSA ile şifreli anahtarların bir kombinasyonunu kullanarak veri topladı.
Özellikle, Rus Yandax e -posta hesaplarına bağlı Dropbox erişim belirteçleri, APT37’nin operasyonlarını maskelemek için “güvenilir sitelerden yaşamak” (lot) taktiklerine güvenmeyi vurgulayarak kullanıldı.
Kötü amaçlı yazılımların bellekte dinamik kodu yürütme yeteneği, geleneksel antivirüs çözeltileri tarafından tespiti daha da karmaşıklaştırır ve Genian EDR’nin gerçek zamanlı tehdit tanımlaması ve ayrıntılı proses izlemesi tarafından gösterildiği gibi, anomali avcılık özelliklerine sahip uç nokta tespit ve yanıt (EDR) sistemlerine duyulan ihtiyacı vurgular.
Bu kampanya, CAPA gibi statik analiz araçlarıyla onaylandığı gibi, Şubat 2025 K-Messenger HWP belge dağılımı gibi önceki saldırılara kod benzerlikleri ile APT37’nin Rokrat’ın sürekli kullanımının altını çiziyor.
Grubun altyapısı, kökenlerini gizlemek için NordVPN ve AstrillVPN gibi VPN hizmetlerinin kullanımı da dahil olmak üzere tutarlı kalıplar ortaya koyuyor.
GSC’nin Humint ve uluslararası istihbarat paylaşımı tarafından desteklenen soruşturması, bazıları Potansiyel olarak kimliğe bürünmüş LinkedIn profilleriyle bağlantılı olan tehdit oyuncusuna bağlı birden fazla e-posta hesabı belirledi.
Kuruluşlar, uç nokta etkinliğini izleyerek, bilinmeyen LNK dosyalarının yürütülmesinden kaçınarak ve gazetesiz tehditleri ve MITER ATT & CK çerçevelerine eşlenen kötü amaçlı bulut API etkileşimlerini tespit etmek için gelişmiş EDR çözümlerinden yararlanarak savunmaları desteklemeye istenir.
Uzlaşma Göstergeleri (IOC)
| Tip | Değer |
|---|---|
| MD5 Hashes | 81C08366EA7FC0F933F368B120104384, 723F80D1843315717BC56E9E58E89BE5, vb. |
| C2 IPS | 89.147.101.65, 89.147.101.71, 37.120.210.2 |
| E -posta Hesapları | rolf.gehrung@yoandex.com, ekta.sahasi@yoandex.com, tanessha.samuel@gmail.com, vb. |
SOC ekibini kurmak mı? -SOC ekibiniz için ücretsiz Ultimate SIEM Fiyatlandırma Kılavuzu’nu (PDF) indirin -> Ücretsiz İndir