YERLER Güvenlik Merkezi’ndeki güvenlik araştırmacıları, görünüşte zararsız JPEG görüntü dosyaları içinde kötü niyetli yükleri gizlemek için steganografiyi kullanan Kuzey Koreli bağlantılı APT37 tehdit grubuna atfedilen Rokrat kötü amaçlı yazılımlarının sofistike yeni bir varyantını ortaya çıkardılar.
Bu teknik, kötü amaçlı yazılımın, şifreli kabuk kodunu görüntü verilerine yerleştirerek geleneksel antivirüs tespitlerinden kaçmasına izin verir, bu da daha sonra kod çözülür ve bellekte yürütülür.
Öncelikle, “ulusal istihbarat ve karşı istihbarat el yazması” gibi maskelenen zip arşivlerinde gizlenen kötü amaçlı kısayol (.lnk) dosyaları aracılığıyla dağıtılır, saldırı zinciri büyük boy LNK dosyaları ile başlar, genellikle gömülü tuzak belgeleri ve showshels gibi kodlanmış bileşenler nedeniyle 50MB’yi aşan, shellcod (Powershels) gibi başlar. (ttf02.dat) ve toplu dosyalar (ttf03.bat).
Apt37’nin gelişen Rokrat varyantı
Yürütme üzerine, toplu komut dosyası PowerShell’i tek baytlı bir anahtar (0x33) kullanarak bir XOR şifresini gerçekleştirmeye çağırır ve meşru Windows işlemlerine daha fazla yük enjekte eden 32 bit bir kabuk kodu bloğu ortaya çıkarır.
Bu iki aşamalı şifreli kabuk kodu enjeksiyon yöntemi ters mühendisliği engeller, çünkü ofset 0x590’daki ilk XOR işlemi 0xae gibi bir anahtar kullanır ve verileri “d: \ work \ util \ enjectshellcode \ enjectshellcode.pdb” gibi PDB yollarına atıfta bulunan bir yürütülebilir dosyaya dönüştürür.
Kötü amaçlı yazılım daha sonra Mspaint.exe veya Notepad.exe gibi işlemlerde sanal belleği SYSWOW64 dizininden ayırır, şifre çözülmüş veri blokları (örn. 892.928 bayt) yazar ve çekirdek rokrat modülünü çözmek için 0xd6 gibi tuşlarla ek xor rutinleri uygular.
Bu sözlü olmayan yaklaşım, kötü amaçlı yazılım zaman damgası (örn. 2025-04-21 00:39:59 UTC) ve “–wwjaughalvncjwiajs-” gibi benzersiz dizeler, Appt37’nin Arsenal ile olan bağlarını onaylarken minimal disk ayak izleri sağlar.
Bulut tabanlı C2 kanalları
Dikkate değer bir evrimde, APT37, mpr.dll veya credui.dll gibi kötü niyetli DLL’lerin (örneğin, hwp belgelerine yerleştirilmiş Morgr.dll veya credui.dll gibi kötü niyetli DLL’lerin (ör.
“MyImageFile” adlı JPEG kaynağı, geçerli bir EXIF başlığı ile başlar, ancak 0xAA anahtarlı bir XOR’dan sonra 0x4201’i ofsette kabuk kodunu gizler, ardından Rokrat yükünü çıkarmak için 0x29 kullanılarak ikincil bir XOR. Bu, son nokta korumalarını atlayarak sorunsuz bellek içi yürütülmesini sağlar.
İşlevsel olarak, Rokrat sistem bilgilerini, belgeleri ve ekran görüntülerini toplar, bunları api.pcloud.com, cloud-api.yandex.net ve api.dropBoxapi.com gibi istismar edilmiş bulut API’leri aracılığıyla dışarı atar, “HfkfeN8jiAAAAAAAAAZR14ZUTJMQZOX-G5K9SV9VY7PHB9QINCIEO7SAP1CH.”
C2 Hesapları, “[email protected]” ve “[email protected]” gibi e -postalarla bağlantılı, Rus e -posta hizmetlerinin ve potansiyel LinkedIn bağlarının kalıplarını ortaya çıkarır.
Temmuz 2025’teki varyantlar, “Güney Kore’de Kuzey Koreli defektörlerin başarılı bir şekilde yeniden yerleşimi için akademi operasyonu” olarak gizlenmiş gibi, Notepad.exe enjeksiyonuna geçiş ve “D: \ Work \ Silah” altındaki PDB yollarına geçiş.
Rapora göre, bu tehditlere karşı koymak için, süreç enjeksiyonları, komut dosyası yürütmeleri ve giden bulut bağlantıları gibi anormal davranışların gerçek zamanlı izlenmesini sunan etkili uç nokta tespiti ve yanıt (EDR) çözümleri kritiktir.
EDR görselleştirme, LNK yürütmesinden C2 eksfiltrasyonuna kadar saldırı akışlarına yardımcı olur ve Hızlı İzolasyon ve MITER ATT & CK çerçeveleri altında tehdit sınıflandırmasını sağlar.
Rokrat, belgesiz taktikler ve steganografi yoluyla imza temelli savunmalardan kaçınmaya devam ettikçe, kuruluşlar proaktif avcılık için EDR’ye öncelik vermeli ve Güney Kore ve ötesindeki pencerelerde Windows ekosistemlerini hedefleyen devlet destekli Kuzey Kore siber operasyonlarının artan karmaşıklığını vurgulamalıdır.
Uzlaşma Göstergeleri (IOC)
| Tip | Değer |
|---|---|
| MD5 | A2EE8D2AA9F79551B5DD8F9610AD557 |
| MD5 | ae7e18a62abb7f93b657276dcae985b9 |
| MD5 | D5FE744B9623A0CC7F0EF6464C5530DA |
| MD5 | F6d72abf9ca654a20baf23ea1c10a55 |
| MD5 | FD909005F133F95A5B699AB30A2F79B |
| MD5 | 5ED95CDE6C29432A4F7FC48602F82734 |
| MD5 | 16A8AAAF2E312568E6BFB1705A065F9 |
| MD5 | 64d729d0290e2c8ceaa6e38fa68e80e9 |
| MD5 | 443A00FEEB3BEAE02B2FBCD4302A3C9 |
| MD5 | e13c3a38ca58fb0fa9da753e857dd3d5 |
| MD5 | E4813C34Fe2327de1A94C51E630213D1 |
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!