APT37 veya Scarcruft olarak bilinen Kuzey Kore devlet destekli bilgisayar korsanları, sistemleri ihlal etmek için sofistike taktikler kullanıyor ve saldırıları başlatmak için LNK dosyaları içeren kötü niyetli zip dosyalarından yararlanıyor.
Genellikle Kuzey Kore işleri veya ticaret anlaşmaları ile ilgili belgeler olarak gizlenen bu LNK dosyaları, kimlik avı e -postaları yoluyla dağıtılır.
Açıldıktan sonra, PowerShell komut dosyalarını ve toplu dosyaları içeren çok aşamalı bir saldırıyı tetiklerler, sonuçta Rokrat Remote Access Trojan’ı (RAT) nihai yük olarak kullanırlar.
Enfeksiyon akışı ve teknik detaylar
Enfeksiyon süreci, güvenilirliklerini artırmak için web sitelerinden gerçek bilgileri kullanarak kritik görünen kimlik avı e -postaları ile başlar.
Bu e -postalar kötü niyetli LNK dosyalarına sahip zip ekleri içerir.
Yürütüldüğünde, LNK dosyası System32 veya program dosyalarından çalışıp çalışmadığını kontrol eder ve gerekirse % Temp % dizinine geçer.
Daha sonra bir tuzak HWPX belgesi, shark.bat adlı bir toplu komut dosyası ve caption.dat ve filt.dat gibi diğer dosyalar dahil olmak üzere birkaç yük çıkarır.
Shark.bat komut dosyası, PowerShell komutlarını gizli bir pencerede yürütür, tek bayt xor anahtarı kullanarak caption.dat dosyasını şifresini çözen fil komut dosyasını yükler ve yürütür.
Bu şifre çözülmüş içerik daha sonra bellekte yürütülür ve Rokrat sıçanının konuşlandırılmasına yol açar.
Rokrat, işletim sistemi sürümü, bilgisayar adı ve girişli kullanıcı ayrıntıları dahil olmak üzere ayrıntılı sistem bilgilerini toplamak için tasarlanmıştır.
Ayrıca ekran görüntüleri yakalar ve çalıştırma işlemlerini numaralandırır, bu verileri PCLOUD, Yandex ve Dropbox gibi bulut hizmetleri aracılığıyla komut ve kontrol (C2) sunucularına ekler.
Kötü amaçlı yazılım, Dosyaları göndermek, indirmek ve silmek için bu platformların API’lerini kullanır ve sorunsuz iletişim için OAuth jetonlarını yerleştirir.
Ayrıca, Rokrat uzak komutları yürütebilir ve saldırganların veri açığa çıkması, sistem keşfi ve süreç feshi gerçekleştirmesine izin verebilir.
Anti-analiz teknikleri ve C2 iletişim
Tespitten kaçınmak için Rokrat, sanal ortamları tanımlamak için VMware araçlarını algılama ve geçici dosyalar oluşturma ve silme gibi sanal alan algılama yöntemlerini kullanma gibi anti-analiz tekniklerini kullanır.
Araştırmacılara göre, IsdebuggerPresent kullanan hata ayıklayıcıları da kontrol ediyor.
Kötü amaçlı yazılım, XOR ve RSA şifrelemesini kullanarak iletişimini şifreler ve yalnızca saldırganların verilerin şifresini çözebilmesini sağlar.
C2 sunucusundan komutlar AES-CBC şifreli formda alınır, yerel olarak şifrelenir ve sistemde yürütülür.
Bu komutlar veri toplama, dosya silme ve kötü amaçlı yazılım sürecinin sona erdirilmesini içerebilir.
C2 işlemleri için meşru bulut hizmetlerinin kullanılması, Rokrat’ın normal ağ trafiğine karışmasını sağlar ve bu da tespit edilmesini zorlaştırır.
Bu sofistike yaklaşım, şimdi kimlik avı kampanyaları aracılığıyla hem Windows hem de Android platformlarına odaklanan operasyonlarını geleneksel hedeflerin ötesine uyarlamaya ve genişletmeye devam ettikleri için APT37’nin gelişen taktiklerini vurgulamaktadır.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.