Kuzey Kore devlet destekli hack grubu APT37, Mart 2025’te Kuzey Kore meselelerine odaklanan aktivistleri hedefleyen sofistike bir mızrak kimlik avı kampanyası başlattı.
Güney Kore Ulusal Güvenlik Düşünce Tankının ev sahipliği yaptığı akademik bir foruma davet olarak gizlenen bu e -postalar, şüphesiz alıcıları cezbetmek için “Trump 2.0 ERA: Prospects ve Güney Kore’nin yanıtı” başlıklı gerçek bir etkinliğe atıfta bulundu.
Gelişmiş mızrak kimlik avı kampanyası
Correy Güvenlik Merkezi (GSC) tarafından “Operasyon: Toybox Story” olarak adlandırılan kampanya, APT37’nin kötü amaçlar için meşru hizmetlerden yararlanmasında gelişen taktikleri sergileyen kötü amaçlı kısayol (LNK) dosyaları sunmak için güvenilir Dropbox bulut platformunu kullandı.
.png
)
Genellikle “güvenilir sitelerden (çok) yaşamak” olarak adlandırılan bu yaklaşım, grubun komuta ve kontrol (C2) operasyonları için PCLOUD ve Yandex gibi platformlara olan güvenini, meşru trafiğe karışma ve geleneksel algılama mekanizmalarından kaçma stratejilerini vurgular.
8 ve 11 Mart 2025’te gözlemlenen kimlik avı e -postaları, meşru hangul (HWP) belgelerini ve konferans posterlerini taklit eden aldatıcı ekler içeriyordu ve kurbanların Dropbox’tan zip arşivlerini indirmeye yol açtı.
Bu arşivler çıkarıldıktan sonra, yürütüldükten sonra, Rokrat kötü amaçlı yazılımını APT37 ile ilişkili kötü şöhretli bir uzaktan erişim truva işlemini dağıtmak için gizli PowerShell komutlarını tetikleyen kötü niyetli LNK dosyalarını ortaya çıkardı.
Kötü amaçlı yazılım, % Temp % dizininde gizli dosyalar oluşturarak, algılamadan kaçınmak için gizlenmiş parti komut dosyalarını yürüterek ve kabuk kodunu Fileless yürütme için XOR mantığını kullanarak belleğe yükleyerek saldırısını başlatır.
Rokrat’ın yetenekleri, sistem bilgileri hasadı (örneğin, OS yapı sürümü, cihaz adı ve BIOS detayları), onaltılık adlı geçici dosyalarda kaydedilen gerçek zamanlı ekran görüntüsü yakalama ve API.dropBoxapi gibi bulut tabanlı C2 sunucularına verimler dahil olmak üzere kapsamlıdır.[.]com.
Kötü amaçlı yazılım sunumunun teknik dökümü
Toplanan veriler, iletimden önce XOR, AES-CBC-128 ve RSA ile çok katmanlı şifrelemeye maruz kalır ve bu da hassas bilgilerin pesfiltrasyon sırasında gizlenmesini sağlar.
GSC’nin analizi, kalıcı saldırılara rağmen minimal kod evrimini gösteren, ATT & CK taktiklerine eşlenen aynı şifreleme rutinlerinin kullanımı ve davranışsal kalıplar gibi önceki Apt37 kampanyalarıyla çarpıcı benzerlikler ortaya koydu.
Bu filessiz yaklaşım, geleneksel antivirüs çözeltileri tarafından tespiti zorlaştırarak, anormal davranışları işaretleyebilen ve proaktif tehdit avı için ayrıntılı saldırı hikayeleri sağlayabilen Genian EDR gibi gelişmiş uç nokta tespiti ve yanıt (EDR) sistemlerini gerektirir.
Kampanyanın altyapısı ayrıca Rus Yandax e -posta hesaplarına geri dönüyor ve daha önce tanımlanmış Gmail adresleri, Nordvpn gibi VPN hizmetlerinin yanı sıra, başlangıç aşımı için APT37’nin geri dönüşü olmayan titiz çabalarının altını çiziyor.
Kuruluşlardan şüpheli bulut hizmeti iletişimi için izlemeyi geliştirmeleri ve bu tür riskleri azaltmak için doğrulanmamış kaynaklardan LNK dosyalarını açmaktan kaçınmaları istenir.
Uzlaşma Göstergeleri (IOC)
| Tip | Değer |
|---|---|
| MD5 | 81c08366ea7fc0f933f368b120104384 |
| 723F80D1843315717BC56E9E58E89BE5 | |
| 7822E53536C1CF86C3E44E31E77BD088 | |
| C2 IP | 89.147.101[.]65 |
| 89.147.101[.]71 | |
| 37.120.210[.]2 | |
| E -posta | [email protected] |
| [email protected] | |
| [email protected] |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!