Kuzey Kore’nin sponsor olduğu gelişmiş kalıcı tehdit (APT) grubu ScarCruft, muhtemelen kamuya açık olmayan tehdit istihbaratını çalmak ve operasyonel taktik kitabını geliştirmek amacıyla siber güvenlik araştırmacılarına ve tehdit istihbarat topluluğunun diğer üyelerine yönelik hedefli saldırılara hazırlanıyor.
SentinelLabs’ın analizine göre, ScarCruft (diğer adıyla APT37, Inky Squid, RedEyes ve Reaper) Kasım ve Aralık aylarını, araştırmacıların 2024’te de devam etmesini bekledikleri oldukça tipik taklit tarzı saldırılarla Kuzey Kore meselelerine odaklanan medya kuruluşlarını ve düşünce kuruluşu personelini hedef alarak geçirdiler. Ancak, SentinelLabs araştırmacıları bu kampanyayı analiz ederken yeni bir şeyle karşılaştı: geliştirme aşamasındaki kötü amaçlı yazılımlar ve farklı türde bir saldırının yakında olduğunu gösteren bazı deneme enfeksiyon zincirleri.
Siber Saldırganlar Tehdit İstihbaratı Topluluğunu Hedef Alıyor
Bu ilk kez değil Kuzey Koreli aktörler siber güvenlik uzmanlarını hedef aldı; ancak saldırganların test ettiği enfeksiyon rutini, teknik tehdit araştırmasını kullanması açısından yenilikçidir. Kimsuky olarak bilinen Kuzey Kore APT’si bir cazibesi olarak.
Güney Koreli bir siber güvenlik şirketi olan Genians tarafından Ekim ayında yayınlanan rapor yasaldır ve SentinelOne’un kıdemli tehdit araştırmacısı Aleksandar Milenkoski’ye göre APT arkadaşını bu şekilde çağırmak yeni bir çığır açacak gibi görünen bir değişikliktir.
“Bugüne kadar görünürlüğümüze dayanarak, [previously] ScarCruft’un veya Kuzey Koreli herhangi bir şüpheli tehdit aktörünün bölgedeki başka bir şüpheli tehdit aktörüyle ilgili tehdit araştırma materyallerini tuzak olarak kullandığını gözlemledi” diye belirtiyor. “Kimsuky bir başka şüpheli Kuzey Koreli tehdit grubu altyapı ve komuta-kontrol sunucusu yapılandırmaları gibi operasyonel özellikleri ScarCruft ile paylaştığı gözlemlendi.”
Milenkoski, kötü amaçlı yazılım test faaliyetlerinde tespit edilen tuzaklara ve diğer ayrıntılara dayanarak, “düşmanın muhtemelen siber güvenlik profesyonellerini veya işletmelerini hedef almayı planladığını” açıklıyor. “ScarCruft’un, Kuzey Kore siber tehdit ortamındaki son gelişmeler üzerine, tehdit istihbaratı raporlarını tüketen hedef kitleleri hedef alan kimlik avı veya sosyal mühendislik kampanyaları planladığından şüpheleniyoruz.”
Nihai hedefe gelince, firma, araştırmacıların ScarCruft’un en son taktikleri, teknikleri ve prosedürlerini (TTP’ler) bilip bilmediğini ortaya çıkarabilecek ve böylece “potansiyel tehditleri tespit edebilecek” bu tür raporları çalmanın muhtemel olduğu sonucuna vardı. [the APT’s] Operasyonlar ve onların operasyonel ve kaçamak yaklaşımlarının iyileştirilmesine katkıda bulunmak.”
İkinci hedef, kimliğe bürünme saldırılarını ikna etmek için bir başlangıç noktası olarak kullanmak üzere siber güvenlik ortamlarına erişim sağlamak olabilir – yani SentinelOne raporuna göre “siber güvenlik profesyonellerini ve işletmelerini belirli müşterileri ve kişileri doğrudan veya daha geniş anlamda marka kimliğine bürünme yoluyla hedef alacak şekilde taklit etmek”.
Siber Güvenlik Araştırmacıları Dikkat: ScarCruft, Kimsuky Lure’u Sallıyor
ScarCruft, Güney Koreli bireylerin yanı sıra kamu ve özel kuruluşlara yönelik uzun bir hedefli saldırı geçmişine sahip ve Kore Demokratik Halk Cumhuriyeti (DPRK) için bir siber casusluk uzmanı olarak görev yapıyor.
“ScarCruft’un operasyonel özellikleri paylaştığı gözlemlendi KimsukiMilenkoski, altyapı ve komuta ve kontrol sunucusu yapılandırmaları gibi” diyor. “Grubun mevcut anlayışı, öncelikle Devlet Güvenlik Bakanlığı’nın (MSS) çabalarıyla uyumlu ve Kuzey Kore’nin stratejik stratejisini destekleyen istihbarat toplama işlemi yürüttüklerini gösteriyor çıkarlar.”
Bu amaçla, başlangıçta SentinelLabs’ın analizinin odak noktası olan aktif kampanyada ScarCruft, rakipler tarafından geliştirilen ve hedeflenen varlıklar üzerinde çeşitli gözetim türlerine izin veren özel bir arka kapı olan RokRAT’ı sunmak amacıyla aynı kişileri defalarca hedef aldı.
SentinelLabs raporuna göre, RokRAT aynı zamanda yaklaşmakta olan siber güvenlik profesyoneli hedefleme dalgasının da merkezinde yer alıyor.
Araştırmacılar, “ScarCruft faaliyetlerini araştırırken, ScarCruft’un planlama ve test süreçlerinin bir parçası olduğunu değerlendirdiğimiz kötü amaçlı yazılımları ele geçirdik” dedi. “Buna RokRAT sağlayan çeşitli kabuk kodu varyantları, genel araçlar ve istihbarat adı verilen iki büyük boyutlu LNK dosyası dahildir. lnk ve news.lnk.”
Her iki kötü amaçlı LNK kötü amaçlı yazılımı da açıldığında PowerShell kodunu çalıştırıyor ve bu kod da sahte Kimsuky PDF belgesini (“inteligence.pdf” olarak adlandırılıyor) çıkarıyor ve buluttan story.txt adlı altıgen kodlu bir dosyayı getiriyor. Araştırmacılar, story.txt dosyasının notepad.exe’yi zararsız bir şekilde açtığını ve bu durumun inteligence.lnk’nin test amaçlı geliştirildiğini gösterdiğini açıkladı.
Öte yandan analize göre, “news.lnk tarafından yürütülen kabuk kodu silah haline getiriliyor ve RokRAT arka kapısını dağıtıyor”. “News.lnk’in, gelecekteki ScarCruft kampanyalarında kullanılması amaçlanan, inteligence.lnk’in tamamen geliştirilmiş versiyonu olması muhtemeldir.”
Yaklaşım, araştırmacıların daha önce analiz ettiği yaygın kampanyalara benzese de grubun yaklaşımlarında ince ayar yaptığı ve düzeltmeler yaptığı açık.
“ScarCruft’un kötü amaçlı yazılım test faaliyetleri, düşmanın cephaneliğini yenileme ve hedef listesini genişletme konusundaki kararlılığını ortaya koyuyor.” SentinelLabs’ın ScarCruft hakkındaki raporu bugün yayınlandı. “Grubun geçmişte kullandıkları zincirlerden esinlenerek yeni enfeksiyon zincirleri denediğini gözlemledik. Bu, kötü amaçlı kod uygulamalarının değiştirilmesini ve belirli dosyaların bulaşma adımlarından hariç tutulmasını içeriyor; bu, muhtemelen dosya sistemi yapılarına ve bilinen ScarCruft’a dayalı algılamadan kaçınma stratejisi olarak kullanılıyor. Tehdit istihbaratı topluluğu tarafından kamuya açıklanan teknikler.”
Milenkoski, siber güvenlik araştırmacılarına, özellikle de Kore tehdit ortamını incelemeye dahil olanlara soğukkanlı kalmalarını ve ileriye yönelik akıllıca tasarlanmış, ikna edici e-posta saldırılarına karşı tetikte olmalarını tavsiye ediyor.
“Siber güvenlik uzmanları genellikle uyarı işaretlerinin genel halktan daha fazla farkındadır, dolayısıyla bariyer daha yüksektir” diyor. “Bununla birlikte, sosyal mühendislik girişimlerine karşı dikkatli olmanız ve güvenilir bir kaynaktan gelmediği sürece bilinmeyen eklerin açılmasından veya bilinmeyen bağlantılara tıklamaktan kaçınmanız yönündeki genel tavsiye hâlâ geçerlidir.”