Güvenlik araştırmacıları, Scarcruft, Reaper ve Red Eyes olarak da bilinen Kuzey Kore devlet destekli bir hack grubu olan APT37’ye atfedilen sofistike bir saldırı kampanyası belirlediler.
2012’den beri aktif olan grup, Japonya, Vietnam, Orta Doğu ve sağlık ve üretim gibi endüstrileri içerecek şekilde Güney Kore’den hedeflerini genişletti.
En son saldırıları, Rokrat Remote Access Trojan’ı çok aşamalı bir işlemle dağıtan gizli kötü amaçlı LNK dosyaları içeren ZIP dosya eklerinden yararlanır.
Güvenlik analisti, ZW01F’den Mohamed Ezat, saldırının Kuzey Kore işleri veya ticaret anlaşmaları ile ilgili belgeler olarak maskelenen kötü niyetli LNK dosyalarını gizleyen zip ekleri içeren kimlik avı e -postaları ile başladığını belirtti.
Bu e -postalar meşru görünmek için hazırlanmıştır, genellikle güvenilirliği artırmak için web sitelerinden gerçek bilgileri dahil eder.
Bir kurban bir belge gibi görünen şeyi açtığında, bilmeden karmaşık bir enfeksiyon zincirinin ilk aşamasını tetiklerler.
Yürütme üzerine, LNK dosyası birden fazla yükü çıkaran ve bunları kurbanın geçici dizine kaydeden bir dizi başlatır.
.webp)
Enfeksiyon akışı, ilk LNK dosyasının sonraki aşamalar için nasıl bir yükleyici görevi gördüğünü gösterir. Bu teknik, saldırganların yalnızca ilk dosyaya odaklanan güvenlik çözümleri tarafından algılamadan kaçmasına yardımcı olur.
LNK dosyası, birden çok bileşeni çıkarmak için PowerShell komutlarını yürüten gömülü kod içerir: bir tuzak HWPX belgesi (Kore belge biçimi), yürütülebilir veri dosyaları ve bir toplu komut dosyası.
PowerShell komutları, belirli bir boyutta dosyaları arayarak LNK dosyasının kendisini arar, ardından dosya yapısındaki önceden belirlenmiş ofsetlerden veri çıkarır.
Saldırı zincirinin teknik analizi
İlk aşama, belirli bayt ofsetlerinde birkaç dosyayı çıkaran PowerShell kodu yürütme LNK dosyası ile başlar. Örneğin, ofset 0x111e’de 0xad36 bayt çıkarır ve bir tuzak belgesi olarak hizmet veren bir HWPX dosyası olarak kaydeder.
Çıkarılan dosyalar altyazı.
.webp)
LNK komut satırı PowerShell’i bu işlemleri gerçekleştirmeye çağırır. Shark.bat dosyası PowerShell’i geçici dizinden fil .dat okuyan gizli bir pencerede başlatır.
Bu PowerShell betiği daha sonra tek bayt xor tuşunun ‘D’ kullanarak altyazısını şifresini çözer. Şifre çözülmüş içerik, son yükü diske yazmaktan kaçınarak VirtualProtect ve CreateThead gibi Windows API işlevleri kullanılarak doğrudan belleğe yüklenir.
Bu sözlü olmayan yaklaşım, geleneksel antivirüs çözümleri tarafından tespit şansını önemli ölçüde azaltır.
Son yük Rokrat, işletim sistemi sürümü, donanım detayları, çalışma işlemleri ve ekran görüntüleri dahil olmak üzere ayrıntılı sistem bilgilerini toplayan sofistike bir uzaktan erişim Truva atıdır.
Meşru Googlebot kullanıcı ajanı dizelerini taklit ederek iletişimini gizleyerek komut ve kontrol kanalları olarak PCLOUD, Yandex ve Dropbox gibi bulut hizmetlerini kullanır.
.webp)
Kötü amaçlı yazılım, gelişmiş yeteneklerine rağmen düşük algılama oranlarına sahiptir.
Rokrat, sanal makineleri ve hata ayıklama ortamlarını algılayan ve güvenlik araştırmacılarından kaçmasına izin veren anti-analiz özelliklerini içerir.
Ayrıca, saldırganların uzak komutları yürütmesini, sürücüleri taramasını, dosya toplamasını ve ek yükler indirmesini sağlayan birden fazla komut işlevi de içerir, bu da casusluk ve veri hırsızlığı işlemleri için çok yönlü bir araç haline getirir.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.