Yeni bir raporda, Kuzey Kore bağlantılı Scarcruft, bir kimlik avı kampanyasında akademisyenleri hedeflemek için Rokrat kötü amaçlı yazılımlarını kullandığını ortaya koyuyor. Siber-ihale tehdidi ve grubun gelişen taktikleri hakkında bilgi edinin.
Seqrite Labs’tan siber güvenlik araştırmacıları, Kuzey Kore’ye bağlı yeni ve yüksek hedefli bir saldırı kampanyası keşfettiler. Scarcruft veya APT37 olarak bilinen hack grubu, Güney Koreli akademisyenlere, araştırmacılara ve eski hükümet yetkililerine casusluk yapmak için Rokrat adlı kötü niyetli bir araç kullanıyor.
Bu operasyon Hanok Phantom olarak adlandırılmıştır – Hanok Kore anlamına gelirken, Phantom saldırının gizli ve kaçınılmaz doğasını temsil ediyor.
Aldatıcı bir saldırı
Saldırılar sahte bir e-posta, mızrak aktı olarak bilinen bir teknikle başlar. Bu, saldırganların belirli bir kişiyi kandırmak için güvenilir bir kaynak gibi davrandıkları çok odaklanmış bir sahtekarlık. Bu durumda, e -postalar bir araştırma toplumundan bir bülten olarak gizlendi.
Bir kurban zararsız bir PDF belgesine benzeyen ekli dosyayı açtığında, gizlice bilgisayarlarına gizli bir yazılım (Rokrat) yüklenir. Saldırının ikinci bir versiyonu, Kuzey Kore’nin Kim Yo Jong’dan bir tuzak olarak kamuya açık bir açıklama, belgenin 28 Temmuz tarihli ve Seul’un uzlaşma çabalarını reddederek kullandı.
Bir bilgisayara girdikten sonra, kötü amaçlı yazılım ekran görüntüleri alabilir, dosyaları çalabilir ve diğer özel bilgileri toplayabilir. Bilgisayar korsanları daha sonra çalınan verileri kendilerine geri göndermek için Dropbox ve Google Cloud gibi ortak bulut hizmetlerini kullanırlar.
Kuzey Kore ve Siber Saldırılar
Bu kampanya, Kuzey Kore’nin kalıcı siber tehdidinin sadece bir örneğidir. Birincil odak noktaları Güney Kore üzerindeyken, Scarcruft da aşağıdakiler de dahil olmak üzere başka ülkeleri de hedefledi:
- Hindistan
- Nepal
- Çin
- Japonya
- Rusya
- Kuveyt
- Vietnam
- Romanya
Hackread.com’un geçmiş raporları, Scarcruft’un taktiklerini sürekli olarak geliştirdiğini vurgulamaktadır. Aralık 2022’de ESET araştırmacıları grubu hükümet ve medya kuruluşlarına casusluk yapmak için Dolphin adlı sofistike bir arka kapı kullanarak keşfetti. Bu, Rus hedeflerine karşı farklı bir kötü amaçlı yazılım olan Konni Rat kullanarak grubun Ağustos 2021’den gelen raporları izledi.
Daha yakın zamanlarda, bir Güney Koreli firma S2W, Scarcruft’un geleneksel casusluk araçlarına ek olarak VCD adlı yeni bir fidye yazılımı kullandığını bildirdi. Chinopunk adlı bir alt grup tarafından yapılan bu kampanya, kurbanları Lightpeek ve Nubspy de dahil olmak üzere çeşitli kötü amaçlı yazılımlarla enfekte etmek için sahte posta kodu güncellemesine sahip e -postalar kullandı.