2024’te Güney Kore, devlet destekli APT37 grubunun önemli bir tehdit oyuncusu olarak ortaya çıkmasıyla, ileri süren tehdit (APT) saldırılarında endişe verici bir artışa tanık oldu.
Sofistike tekniklerden yararlanan grup, bireyleri ve organizasyonları kötü amaçlı Hancom Office HWP belgeleri ve K Messenger Group sohbetleri aracılığıyla dağıtılan LNK dosyaları aracılığıyla hedefledi.
Bu saldırılar öncelikle güvene dayalı iletişim kanallarından yararlanırken antivirüs tespitinden kaçmayı amaçlamıştır.
13 Kasım 2024’te bir K Messenger grubu sohbetinde iki kötü niyetli dosya yayıldı: Kuzey Kore-Rusya yakınlığının Kuzey Kore rejimi üzerindeki etkisi ve bir LNK kısayolu içeren bir zip dosyası başlıklı bir HWP belgesi.
Saldırganlar, başlangıç erişimini elde etmek için mızrak kimlik avı kullandı, ardından uzlaşmış sistemlerde keşif ve yanal hareket izledi.
Saldırganlar, güvenilir temasları taklit ederek kurbanların ek kötü amaçlı yazılım dağıtma aşinalıklarından yararlandı.
HWP dosyaları, yürütüldükten sonra kötü niyetli PowerShell komutlarını tetikleyen nesne bağlayan ve gömme (OLE) nesnelerini içeriyordu.
Benzer şekilde, meşru belgeler olarak gizlenmiş LNK dosyaları, pencereler ortamlarını hedefleyen zararlı komut dosyaları gömülü.
Android cihazlar nispeten etkilenmemiş olsa da, kullanıcılar yetkisiz APK uygulamaları yüklemeye karşı uyarıldı.
Sofistike kötü amaçlı yazılım teknikleri
Apt37’nin taktikleri, “Lexus.bat” ve “Bus.dat” gibi gizli toplu komut dosyalarını yürütmek için HWP dosyalarına birden fazla OLE nesnesinin yerleştirilmesini içeriyordu.
Bu komut dosyaları, kabuk kodunu çözmek için XOR mantığı kullandı ve Rokrat kötü amaçlı yazılımların belleksiz bir şekilde yürütülmesini sağladı.
Rokrat modülü, enfekte olmuş sistemler üzerinde uzaktan kumanda sağlarken, PCLOUD’un API jetonu üzerinden verileri kolaylaştırdı.
Saldırganlar ayrıca ders materyalleri veya kurbanları aldatmak için iş yazışmaları gibi belge temalarından da yararlandı.
Örneğin, Kore Havacılık Araştırma Enstitüsü’nü taklit eden e -postalar, kötü niyetli HWP dosyalarını başlıklar altında dağıttı Büyük ülkeler tarafından yapay zeka kullanımı durumu.
Bu, grubun stratejik hedeflerinin altını çizen drone araştırma kurumlarını ve üniversitelerini hedef aldı.
Karşı önlemler
Bu tür tehditleri azaltmak için uzmanlar, anormal terminal davranışını tanımlayabilen uç nokta algılama ve yanıt (EDR) sistemlerinin konuşlandırılmasını vurgulamaktadır.
Genian EDR çözümlerinin, ofis yazılımının işlem kalıplarını analiz ederek kötü niyetli HWP belgelerinin tespitinde ve engellenmesinde etkili olduğu kanıtlanmıştır.
Ayrıca, anomali tabanlı kurallar, komut ve kontrol (C2) sunucuları ile iletişim kuran sözlü olmayan kötü amaçlı yazılım işlemlerinin belirlenmesinde etkili olmuştur.
Kuruluşlara, kimlik avı bilincinde düzenli eğitim eğitimi ve gözetimsiz olduğunda bilgisayar erişimini sınırlamak da dahil olmak üzere katı güvenlik politikalarını uygulamaları tavsiye edilir.
Ayrıca, e-posta eklerini incelemek ve haberci tarafından taşınan dosyalar sızmayı önlemede kritik öneme sahiptir.
APT37 Grubunun gelişen taktikleri, devlet destekli siber tehditlere etkili bir şekilde karşı koymak için sağlam siber güvenlik çerçevelerinin ihtiyacını vurgulamaktadır.
Proaktif önlemleri benimseyerek, kuruluşlar bu sofistike saldırılara karşı daha iyi korunabilir.
SOC/DFIR ekiplerinden misiniz? -kötü amaçlı yazılım dosyalarını ve bağlantılarını herhangi biriyle analiz edin. Run Sandox -> Ücretsiz dene