Kuzey Kore’nin kötü şöhretli APT37 (Reaper) grubuna atfedilen sofistike yeni bir siber saldırı dalgası, Microsoft Windows sistemlerini tehlikeye atmak için JPEG görüntü dosyalarında gizlenmiş gelişmiş kötü amaçlı yazılımları kullanıyor ve kaçınma taktiklerinde ve filessiz saldırı tekniklerinde tehlikeli bir evrime işaret ediyor.
Prenler Güvenlik Merkezi’ndeki (GSC) güvenlik araştırmacıları yakın zamanda APT37 tarafından kullanılan meşhur Rokrat kötü amaçlı yazılımlarının yeni bir varyantını tespit etti. Önceki sürümlerden farklı olarak, bu varyant, adli analizi engellemek ve geleneksel güvenlik kontrollerini atlamak için tasarlanmış karmaşık iki aşamalı bir kabuk kodu enjeksiyon işlemi kullanır.
Özellikle endişe verici olan grubun steganografi kullanmasıdır: kötü amaçlı kod, zararsız görüntü dosyaları gibi görünen şey içinde gizlenir, bu da tespiti uç nokta savunmaları için katlanarak daha zor hale getirir.
APT37’nin Geliştirilmiş Rokrat kötü amaçlı yazılım enfeksiyonu süreci
Öncelikle Güney Kore’de gözlemlenen mevcut kampanya, büyük Windows kısayol (.lnk) dosyaları içeren sıkıştırılmış arşivler (örn. “Ulusal zeka ve karşı istihbarat elyafı.zip”) aracılığıyla dağıtılır. Bu kısayollar aşağıdakiler dahil olmak üzere birkaç gizli bileşen yerleştirmiştir:
- Meşru bir tuzak belgesi.
- Shellcode ve Script dosyaları.
- PowerShell komutları, daha fazla yükü çözmek ve yürütmek için tasarlanmıştır.
Görünüşte rutin dosyalara, özellikle e -postalara veya anlık mesajlara eklenmiş olanlara kullanıcı güvenini kullanarak APT37, başarılı uzlaşma olasılığını en üst düzeye çıkarır.
Başladıktan sonra, bu çok aşamalı zincir PowerShell’i başlatan bir toplu betiği yürütür. Komut dosyası, XOR işlemlerini kullanarak şifreli bir kabuk kodu yükünü çözer ve sonuçta kötü amaçlı kodu mspaint.exe veya notepad.exe gibi güvenilir Windows işlemlerine enjekte eder.
Bu filessiz yaklaşım, tehdit aktörlerinin hem imza tabanlı antivirüs hem de birçok sezgisel çözümden kaçmasına izin veren minimal adli izler bırakıyor.
Önceden büyük bir sıçrada, kötü amaçlı yazılım, Rokrat modüllerini Dropbox ve Yandex gibi bulut depolama sağlayıcıları aracılığıyla dağıtılan JPEG dosyalarına yerleştirerek steganografiyi kullanır.
Örneğin, “baba.jpg” geçerli görüntü verileri içerir, ancak dikkatli analiz, standart fotoğraf içeriğinin yanında gizlenmiş şifreli kabuk kodunu ortaya çıkarır.
Kötü amaçlı yazılım JPEG kaynağını çıkarır ve bir dizi XOR kod çözme adımından sonra, geleneksel dosya tabanlı algılama sistemlerini atlarken gizli Rokrat kötü amaçlı yazılımlarını ortaya çıkarır ve yürütür.
Rokrat, C2 iletişimi için meşru bulut API’lerini kötüye kullanarak enfekte uç noktalardan bilgi belgelerini, ekran görüntülerini ve oturum verilerini sunmaya devam ediyor.
Orijinal bulut jetonlarının ve kayıtlı hesapların kullanımı, daha fazla çamurluk attı ve şüpheli trafik kalıpları arayan savunucuları hayal kırıklığına uğratıyor.
APT37’nin teknik çevikliği, enjeksiyon hedeflerinin değiştirilmesinde (Mspaint.exe’den Notepad.exe’ye Windows geliştikçe) ve PDB yolları ve araç zinciri adları gibi geliştirici artefaktlarının dikkatli kamuflajında görülür (örn.
Saldırganlara atfedilen bulut hesapları, İzleme çabalarını karmaşıklaştıran Yandex e -posta adreslerine ve sahte sosyal medya profilleriyle bağlantılıdır.
Bu kampanya, güvenlik ekiplerinin imzalara veya statik kurallara dayanmak yerine davranışsal izlemeye odaklanan gelişmiş uç nokta algılama ve yanıt (EDR) çözümlerini uygulamaya yönelik artan zorunluluğu vurgulamaktadır.
Düzenli kullanıcı farkındalığı eğitimi, katı uç nokta yönetimi ve bulut hizmet trafiğinin proaktif izlenmesi artık devlet destekli tehditlerle mücadelede temel silahlardır.
Türler raporu, tehdit aktörlerinin tekniklerini, özellikle steganografi ve filessiz yöntemlerle geliştirdikçe, proaktif, uyarlanabilir savunma stratejilerinin bu gelişen riskleri azaltmaya ayak uydurması gerektiğini vurgulamaktadır.
Integrate ANY.RUN TI Lookup with your SIEM or SOAR To Analyses Advanced Threats -> Try 50 Free Trial Searches