Kuzey Kore’nin APT37 tehdit grubu, Microsoft’un geçen yıl Office belgeleri aracılığıyla kötü amaçlı yazılım dağıtımını önlemek için makroları varsayılan olarak engellemeye başlamasının ardından, düşmanların kötü amaçlı yükleri dağıtmak için LNK veya kısayol dosyalarını kullanmaya nasıl yöneldiğine dair yeni kanıtlar sağlıyor.
Yıllardır APT37’yi izleyen Check Point Research, bu hafta, tehdit aktörünün Güney Kore iç ve dış işleri ile ilişkili kuruluşlara ait sistemlerde RokRAT adlı bir uzaktan erişim truva atı (RAT) teslim etmek için LNK dosyalarını kullandığını gördüğünü bildirdi.
Meşru Belgeler Kılığında
LNK dosyaları, meşru belgeler kılığında hedef sistemlere iniyor. Check Point’in analiz ettiği bir saldırıda saldırgan, kötü amaçlı LNK dosyasını bir PDF olarak gizledi ve onu Libya Petrol ve Gaz Endüstrisine ait üç meşru ancak çalıntı belgeyle birlikte bir ZIP arşivine dahil etti. Nisan 2023’teki bir saldırıda tehdit aktörü, Güney Kore diplomasisi ve Kuzey Kore ile ilgili politika kararlarıyla ilgili içerik barındırdığı iddia edilen iki kötü niyetli LNK’yı yerleştirmek için bir ISO kullandı.
Check Point araştırmacıları, her iki durumda da bir kullanıcı LNK dosyasına tıkladığında, bunun LNK’dan bir belge çıkaran, diske bırakan ve açan bir PowerShell betiğinin yürütülmesini tetiklediğini buldu. Belge, kurbanları meşru bir PDF veya Güney Koreli Hangul Kelime İşlemci (HWP) dosyasını açtıklarına inandıran bir tuzaktı.
Bununla birlikte, arka planda, PowerShell betikleri ayrıca LNK’dan bir BAT betiği çıkardı ve bu da, RokRAT’ın sisteme yüklenmesiyle sonuçlanan OneDrive’dan bir yükü indirmek için başka bir PowerShell betiğini yürütür.
Check Point’teki tehdit istihbarat grubu yöneticisi Sergey Shykevich, bu tür çok aşamalı bir kötü amaçlı yazılım dağıtım sürecinin, defans oyuncusu için analizi zorlaştırabileceğini söylüyor. Örneğin, bir PDF dosyası gibi görünen LNK dosyasıyla, kurban LNK dosyasına tıkladıktan sonra iki dosya yükleyen bir PowerShell yükler.
İlki, kurbanı kandırarak her şeyin yolunda olduğunu düşündüren meşru bir PDF’dir. Diğeri, “belirli bir OneDrive’dan yeni bir PowerShell çalıştıran ve RokRAT’ı yükleyen bir yükü çalıştıran kötü amaçlı bir komut dosyasıdır” diyor. “Çoklu aşamalandırma, tüm bulaşma zincirini izlemeyi ve – ağda bir kötü amaçlı yazılım tespit edilirse – ilk bulaşma vektörünü anlamayı zorlaştırıyor.
İlk Enfeksiyon Taktiklerini Değiştirme
ScarCruft ve Reaper olarak da bilinen APT37, en az 2012’den beri aktiftir. Grup, yıllar içinde biri sıfır gün hatasından yararlanan Güney Kore diplomatik hedeflerini hedef alan Daybreak Operasyonu ve diğeri de dahil olmak üzere çok sayıda kampanyayla ilişkilendirilmiştir. Güney Koreli gazetecileri hedef alan GoldBackdoor adlı bir arka kapıyı içeriyor.
APT37’nin kötü amaçlı yazılım dağıtımı için LNK dosyalarını kullanmaya geçişi, bir anlamda Microsoft’un geçen yıl internetten indirilen dosyalarda makroları varsayılan olarak devre dışı bırakmaya karar vermesiyle başlayan bir eğilimin parçasıdır. Bir araştırmaya göre, Microsoft’un Şubat 2022’de kararını ilk kez açıklamasından önce, tüm tehditlerin yaklaşık %31’i Office belgelerindeki makroları içeriyordu. Bu sayı, Microsoft’un kararının 2022’nin ikinci yarısında yürürlüğe girmesinden sonra – bir an için şirketin planı uygulamayacak gibi göründükten sonra – önemli ölçüde düştü.
Shell Link veya LNK dosyaları, sistemdeki diğer dosyalara, klasörlere ve sürücülere kısayol sağlayan Windows dosyalarıdır. Bir kullanıcı, bir LNK dosyasına tıklayarak, uygulamaya manuel olarak gitmek zorunda kalmadan ilgili dosyayı veya uygulamayı açabilir. LNK dosyaları, bir kullanıcının sık kullanılan dosyalara ve yazılımlara erişmesi için uygun bir yol sağlar ve genellikle güvenli kabul edilir.
Siber Saldırganların Çekici Olduğu LNK Dosyası
Ancak LNK dosyalarının onu saldırganlar için ideal kılan özellikleri var, diyor Shykevich. “LNK’nın etkinliği çoğunlukla, saldırganın LNK dosyasını neredeyse tüm diğer dosya türleri gibi gösterebilmesinden kaynaklanır” diyor. Örnek olarak PDF ve Doc dosyalarını gösteriyor. “Ayrıca saldırganın farklı türde betikleri kolayca çalıştırmasına olanak tanır. [such as] APT37 durumunda BAT komut dosyaları,” diyor Shykevich. Kullanıcı için en büyük zorluk, bu tür dosyalara yeterince dikkat etmek ve bunların gerçekten LNK dosyaları olduğundan emin olmaktır.
Geçen yıl boyunca, saldırganlar Emotet, IcedID ve Quakbot, McAfee ve diğerleri gibi kötü amaçlı yazılımları dağıtmak için LNK dosyalarını kullandılar. Saldırılar, LNK’ları kullanıcılara teslim etmek için spam, kimlik avı e-postaları ve kötü amaçlı URL’ler kullanan tehdit aktörlerini içeriyordu. Saldırganların bu taktiği giderek daha fazla benimsemesi, kötü amaçlı LNK dosyaları oluşturmak için bir dizi ticari bağlantı oluşturma aracı da ortaya çıkardı. Bu araçlara örnek olarak, geçen yıl aylık yaklaşık 200 ABD Doları ile ömür boyu erişim için yaklaşık 1.600 ABD Doları arasında değişen oranlarda gönderilmeye başlayan Quantum Lnk Builder, yapı başına 125 ABD Doları karşılığında sunulan MLNK Builder ve Macropack sayılabilir.