Kuzey Kore, JPEG dosyalarında kötü amaçlı yazılımları saklıyor Windows sistemlerine saldırmak için tespitleri atlayarak


YERLER Güvenlik Merkezi’ndeki güvenlik araştırmacıları, görünüşte zararsız JPEG görüntü dosyaları içinde kötü niyetli yükleri gizlemek için steganografiyi kullanan Kuzey Koreli bağlantılı APT37 tehdit grubuna atfedilen Rokrat kötü amaçlı yazılımlarının sofistike yeni bir varyantını ortaya çıkardılar.

Bu teknik, kötü amaçlı yazılımın, şifreli kabuk kodunu görüntü verilerine yerleştirerek geleneksel antivirüs tespitlerinden kaçmasına izin verir, bu da daha sonra kod çözülür ve bellekte yürütülür.

Saldırı Senaryosu

Öncelikle, “ulusal istihbarat ve karşı istihbarat el yazması” gibi maskelenen zip arşivlerinde gizlenen kötü amaçlı kısayol (.lnk) dosyaları aracılığıyla dağıtılır, saldırı zinciri büyük boy LNK dosyaları ile başlar, genellikle gömülü tuzak belgeleri ve showshels gibi kodlanmış bileşenler nedeniyle 50MB’yi aşan, shellcod (Powershels) gibi başlar. (ttf02.dat) ve toplu dosyalar (ttf03.bat).

Kod Yürütme Akışı

Apt37’nin gelişen Rokrat varyantı

Yürütme üzerine, toplu komut dosyası PowerShell’i tek baytlı bir anahtar (0x33) kullanarak bir XOR şifresini gerçekleştirmeye çağırır ve meşru Windows işlemlerine daha fazla yük enjekte eden 32 bit bir kabuk kodu bloğu ortaya çıkarır.

Bu iki aşamalı şifreli kabuk kodu enjeksiyon yöntemi ters mühendisliği engeller, çünkü ofset 0x590’daki ilk XOR işlemi 0xae gibi bir anahtar kullanır ve verileri “d: \ work \ util \ enjectshellcode \ enjectshellcode.pdb” gibi PDB yollarına atıfta bulunan bir yürütülebilir dosyaya dönüştürür.

Shellcode karşılaştırma görünümü

Kötü amaçlı yazılım daha sonra Mspaint.exe veya Notepad.exe gibi işlemlerde sanal belleği SYSWOW64 dizininden ayırır, şifre çözülmüş veri blokları (örn. 892.928 bayt) yazar ve çekirdek rokrat modülünü çözmek için 0xd6 gibi tuşlarla ek xor rutinleri uygular.

Bu sözlü olmayan yaklaşım, kötü amaçlı yazılım zaman damgası (örn. 2025-04-21 00:39:59 UTC) ve “–wwjaughalvncjwiajs-” gibi benzersiz dizeler, Appt37’nin Arsenal ile olan bağlarını onaylarken minimal disk ayak izleri sağlar.

Bulut tabanlı C2 kanalları

Dikkate değer bir evrimde, APT37, mpr.dll veya credui.dll gibi kötü niyetli DLL’lerin (örneğin, hwp belgelerine yerleştirilmiş Morgr.dll veya credui.dll gibi kötü niyetli DLL’lerin (ör.

Jpeg dosyaları
Dağıtılmış kötü amaçlı dosya

“MyImageFile” adlı JPEG kaynağı, geçerli bir EXIF başlığı ile başlar, ancak 0xAA anahtarlı bir XOR’dan sonra 0x4201’i ofsette kabuk kodunu gizler, ardından Rokrat yükünü çıkarmak için 0x29 kullanılarak ikincil bir XOR. Bu, son nokta korumalarını atlayarak sorunsuz bellek içi yürütülmesini sağlar.

İşlevsel olarak, Rokrat sistem bilgilerini, belgeleri ve ekran görüntülerini toplar, bunları api.pcloud.com, cloud-api.yandex.net ve api.dropBoxapi.com gibi istismar edilmiş bulut API’leri aracılığıyla dışarı atar, “HfkfeN8jiAAAAAAAAAZR14ZUTJMQZOX-G5K9SV9VY7PHB9QINCIEO7SAP1CH.”

C2 Hesapları, “[email protected]” ve “[email protected]” gibi e -postalarla bağlantılı, Rus e -posta hizmetlerinin ve potansiyel LinkedIn bağlarının kalıplarını ortaya çıkarır.

Temmuz 2025’teki varyantlar, “Güney Kore’de Kuzey Koreli defektörlerin başarılı bir şekilde yeniden yerleşimi için akademi operasyonu” olarak gizlenmiş gibi, Notepad.exe enjeksiyonuna geçiş ve “D: \ Work \ Silah” altındaki PDB yollarına geçiş.

Rapora göre, bu tehditlere karşı koymak için, süreç enjeksiyonları, komut dosyası yürütmeleri ve giden bulut bağlantıları gibi anormal davranışların gerçek zamanlı izlenmesini sunan etkili uç nokta tespiti ve yanıt (EDR) çözümleri kritiktir.

EDR görselleştirme, LNK yürütmesinden C2 eksfiltrasyonuna kadar saldırı akışlarına yardımcı olur ve Hızlı İzolasyon ve MITER ATT & CK çerçeveleri altında tehdit sınıflandırmasını sağlar.

Rokrat, belgesiz taktikler ve steganografi yoluyla imza temelli savunmalardan kaçınmaya devam ettikçe, kuruluşlar proaktif avcılık için EDR’ye öncelik vermeli ve Güney Kore ve ötesindeki pencerelerde Windows ekosistemlerini hedefleyen devlet destekli Kuzey Kore siber operasyonlarının artan karmaşıklığını vurgulamalıdır.

Uzlaşma Göstergeleri (IOC)

Tip Değer
MD5 A2EE8D2AA9F79551B5DD8F9610AD557
MD5 ae7e18a62abb7f93b657276dcae985b9
MD5 D5FE744B9623A0CC7F0EF6464C5530DA
MD5 F6d72abf9ca654a20baf23ea1c10a55
MD5 FD909005F133F95A5B699AB30A2F79B
MD5 5ED95CDE6C29432A4F7FC48602F82734
MD5 16A8AAAF2E312568E6BFB1705A065F9
MD5 64d729d0290e2c8ceaa6e38fa68e80e9
MD5 443A00FEEB3BEAE02B2FBCD4302A3C9
MD5 e13c3a38ca58fb0fa9da753e857dd3d5
MD5 E4813C34Fe2327de1A94C51E630213D1

Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!



Source link