Lookout tehdit laboratuvarındaki siber güvenlik araştırmacıları, Kuzey Kore devlet destekli hackerların çalışması gibi görünen “Kospy” olarak adlandırılan sofistike bir Android gözetim aracı ortaya çıkardılar.
Bu yeni keşfedilen casus yazılımlar Mart 2022’den bu yana aktif, en son örnekler Mart 2024’te tespit edildi ve uzun süredir devam eden ve kalıcı bir siber casusluk kampanyasını gösteriyor.
APT37 (Scarcruft olarak da adlandırılan) olarak bilinen Kuzey Koreli ileri kalıcı tehdit grubuna orta güvenle atfedilen kötü amaçlı yazılım, kullanıcıları cihazlarına yüklemek için kandırmak için meşru fayda uygulamaları olarak maskeli atarlar.
Kurulduktan sonra Kospy, ağırlıklı olarak Koreli ve İngilizce konuşan bireyleri hedefleyen, sofistike bir komut ve kontrol altyapısı aracılığıyla kapsamlı bir hassas kullanıcı verilerini genişletebilir.
Kuzey Kore gözetim kampanyasının keşfi ve ilişkilendirilmesi
Kospy, Kuzey Kore siber casusluk yeteneklerinde önemli bir evrimi temsil eder ve 2012’den beri aktif olan kötü şöhretli APT37 grubuna bağlanan kanıtlar.
Lookout’taki araştırmacılar, “Telefon Yöneticisi”, “Dosya Yöneticisi”, “Akıllı Yönetici”, “Kakao Güvenliği” ve “Yazılım Güncelleme Yardımcı Programı” dahil olmak üzere beş farklı yardımcı program uygulaması olarak gören casus yazılımların birden fazla örneğini tanımladılar.
Bu uygulamalar, kullanıcılara meşru görünen, genellikle ilgili dahili telefon ayarlarını açan veya şüphe uyandırmaktan kaçınmak için basit işlevler sağlayan temel arayüzler sunar.
Bununla birlikte, bu iyi huylu cephenin arkasında, ilk olarak Google tarafından sunulan bir bulut veritabanı hizmeti olan Firebase Firestore’dan yapılandırma verilerini alarak kötü niyetli etkinliklerini başlatan sofistike gözetim kodu yatmaktadır.
Lookout araştırmacıları tarafından yürütülen analiz, Kore dil unvanlarını içeren kötü amaçlı uygulamaların yarısından fazlası ile Koreli ve İngilizce konuşan kullanıcılara odaklanan kasıtlı bir hedefleme modeli ortaya koydu.
Bu uygulamaların kullanıcı arayüzü, cihazın dil ayarlarına göre hangisinin görüntüleneceğini dinamik olarak seçerek hem Koreli hem de İngilizce dillerini destekler.
Bu iki dilli yetenek, daha önce tanımlanmış Kuzey Kore siber operasyonlarına altyapı bağlantıları ile birleştiğinde, araştırmacıları kampanyayı orta güvenle APT37’ye bağlamaya yönlendirdi.
Bu Kuzey Kore grubu öncelikle Güney Kore’yi hedefleme tarihine sahiptir, ancak Japonya, Vietnam, Rusya, Nepal, Çin, Hindistan, Romanya, Kuveyt ve birkaç Orta Doğu ülkesi de dahil olmak üzere birçok ülkeye karşı operasyonlar yürütmüştür.
Kospy’nin gözetim mekanizmalarının teknik gelişmişliği
Kospy’nin teknik mimarisi, tehdit aktörlerine esneklik ve esneklik sağlayan iki aşamalı bir komut ve kontrol (C2) altyapısı kullanarak önemli bir sofistike olduğunu göstermektedir.
Kurulumdan sonra, casus yazılım ilk olarak iki temel parametre içeren şifreli bir yapılandırmayı almak için Firebase Firestore’a bağlanır: bir “açma/kapama” anahtarı ve komut ve kontrol sunucusunun adresi.
Bu yaklaşım, operatörlerin casus yazılımları uzaktan etkinleştirmesine veya devre dışı bırakmasına ve altyapıları güvenlik araştırmacıları veya yetkililer tarafından algılanırsa veya engellenirse C2 adreslerini değiştirmesine olanak tanır.
Ek olarak, Kospy, cihazın bir emülatör olmamasını sağlamak için kontroller de dahil olmak üzere, tespiti önlemek için savunma önlemleri uygular ve mevcut tarihin sert kodlanmış bir aktivasyon tarihi geçmesi ve kötü niyetli işlevselliğinin erken maruz kalmasını önler.
Kospy etkinleştirildikten sonra, iki farklı istek türü aracılığıyla komut ve kontrol sunucularıyla iletişim kurar: biri ek kötü amaçlı eklentiler indirmek ve diğeri gözetim işlevleri için yapılandırma ayarlarını almak.
Yapılandırma isteği genellikle casus yazılımların C2 sunucusuyla ne sıklıkta iletişim kurması, Korece ve İngilizce kullanıcılara hangi mesajların görüntüleneceğini, eklentileri indirmek için URL’ler ve sınıf adlarını dinamik olarak yüklemek için çeşitli operasyonel parametreleri belirleyen bir JSON belgesi alır.
Bu istekler, cihazın donanım parmak izinden ve Android kimliğinden oluşturulan benzersiz bir kurban tanımlayıcısı da dahil olmak üzere, açıkça görünür alan adlarına sahip şifreli ve baz 64 kodlu yükler içerir.
Araştırmacılar analizleri sırasında beş farklı Firebase projesi ve beş farklı C2 sunucusu gözlemlemelerine rağmen, bazı Kospy komutu ve kontrol alanları çevrimiçi kalırken, araştırma sırasında müşteri isteklerine yanıt vermediklerini belirttiler.
Casus yazılımların veri toplama özellikleri, bir kurbanın cihazındaki neredeyse tüm hassas bilgilere erişebilen dinamik olarak yüklü eklentiler tarafından kolaylaştırılmış kapsamlı ve derin invazivdir.
Kospy, SMS mesajları, çağrı günlükleri, hassas cihaz konumu, yerel depolama alanlarında depolanan dosyalar ve klasörler, ses kayıtları, cihazın kameraları, ekran görüntüleri ve ekran kayıtları kullanılarak çekilen fotoğrafları toplayabilir.
Hatta erişilebilirlik hizmetlerini kötüye kullanarak tuş vuruşlarını bile kaydedebilir, WiFi ağları hakkında bilgi toplayabilir ve yüklü uygulamaların listelerini derleyebilir.
Toplanan tüm bu bilgiler, komut ve kontrol sunucularına iletilmeden önce sert kodlanmış bir AES anahtarı kullanılarak şifrelenir, bu da güvenlik araştırmacıları ve ağ savunucuları için müdahale ve analizi daha zor hale getirir.
Daha geniş Kuzey Kore siber operasyonlarına dağıtım yöntemleri ve bağlantıları
Kospy için dağıtım stratejisi, hem resmi hem de resmi olmayan uygulama kanallarını içeriyordu, bazı örnekler ApkPure gibi üçüncü taraf uygulama mağazalarıyla birlikte Google Play Store’dan indirilebilir.
Her ne kadar kötü amaçlı uygulamaların hiçbiri şu anda Google Play’de mevcut olmasına rağmen, araştırmacılar, “Dosya Yöneticisi” uygulaması için halka açık olduğunu ve on kez daha fazla indirildiğini gösteren bir Play Store listeleme sayfasının önbelleğe alınmış bir görüntüsünü keşfettiler.
Liste, geliştirici hesabının iletişim e -posta adresi ile “Android yardımcı program geliştiricisi” adını kullandığını ve bir blogspot adresinde barındırılan bir gizlilik politikasına bir bağlantı içerdiğini ortaya koydu.
Tehdit oyuncusu, kötü niyetli uygulamaları için promosyon içeriği bile yarattı ve meşruiyetini artırmak için bir YouTube videosu yüklediler.
Bu kampanyayı özellikle dikkat çekici kılan şey, diğer Kuzey Kore tehdit gruplarına altyapı bağlantılarıdır ve devlet destekli aktörler arasında potansiyel işbirliği veya kaynak paylaşımı önermektedir.
Lookout araştırmacıları, Kospy’nin komuta ve kontrol alanlarından biri olan ST0746.net’in, daha önce potansiyel olarak kötü niyetli Kore ile ilişkili sayısız alan adıyla ilişkilendirilmiş bir IP adresine karar verdiğini gözlemledi.
Naverfiles.com ve mailcorp.center gibi bu alanlardan bazıları, APT37’ye atfedilen Windows Remote Access Trojan (sıçan) olan Koreli kullanıcıları hedefleyen saldırılara bağlanmıştır.
Aynı altyapıya bağlı başka bir alan olan Nidlogon.com, daha önce Microsoft tarafından, başka bir Kuzey Koreli devlet destekli hack grubu olan Kimuky veya APT43 olarak da bilinen Tallium’un komut ve kontrol altyapısının bir parçası olarak tanımlanmıştı.
Bu altyapı örtüşmeleri, farklı tehdit gruplarının genellikle kaynakları, hedefleme stratejilerini ve taktikleri, teknikleri ve prosedürleri (TTP’ler) paylaştığı Kuzey Kore siber operasyonlarının ortak bir özelliğini vurgulamaktadır.
Bu altyapı paylaşımı, belirli aktörlere atıfta bulunmayı daha zor hale getirir, ancak aynı zamanda Kuzey Kore siber yeteneklerinin daha geniş ekosistemi hakkında değerli zeka sağlar.
Kospy ve hem APT37 hem de APT43 altyapısı arasındaki bağlantılar, Kuzey Kore devlet destekli tehdit aktörleri tarafından siber casusluğa siber casusluğa sofistike ve koordineli bir yaklaşım önermektedir ve potansiyel olarak Kuzey Kore’nin siber savaş programında farklı hack birimleri veya merkezi kaynak yönetimi arasındaki işbirliğini göstermiştir.
Kospy’nin keşfi, devlet destekli tehdit aktörleri tarafından konuşlandırılan mobil gözetim araçlarının manzarasında önemli bir gelişmeyi temsil ediyor.
Sofistike teknik yetenekleri, gizli operasyonu ve yerleşik Kuzey Kore uygun gruplarına bağlantıları, mobil cihazları hedefleyen siber casusluk taktiklerinin devam eden evrimini vurgulamaktadır.
Kampanyanın Koreli ve İngilizce konuşan kullanıcılara özel odaklanması, Kuzey Kore devlet çıkarlarıyla uyumlu stratejik istihbarat toplama hedeflerini, özellikle de Güney Kore ve Batı ülkelerine odaklanmasını öneriyor.
Güvenlik araştırmacıları, kötü amaçlı yazılım ailesi hala algılanan yeni örneklerle aktif kaldığı için Kospy ve ilgili altyapının gelişimini izlemeye devam ediyor.
Bu uygulamaların Google Play’den kaldırılması ve ilişkili Firebase projelerinin Google tarafından devre dışı bırakılması, önemli savunma önlemlerini temsil eder, ancak tehdit aktörlerinin alternatif kanallar aracılığıyla dağıtma yeteneği, kullanıcıların sofistike casus yazılımları barındırabilecek masum kamu hizmetleri uygulamalarına karşı uyanık kalmaları gerektiği anlamına gelir.
Mobil cihazlar giderek daha hassas kişisel ve profesyonel bilgilerimizi sakladıkça, Lookout tarafından keşfedilen Kospy kampanyası gibi devlet destekli gözetim operasyonları için ana hedefler olmaya devam edecekler.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!