Kuzey Kore’ye atfedilen gelişmiş kalıcı tehdit (APT) olan Lazarus APT Grubu, devam eden DreamJob Operasyonu siber casusluk kampanyasının bir parçası olarak ScoringMathTea adı verilen yeni ve gelişmiş bir Uzaktan Erişim Truva Atını (RAT) konuşlandırdı.
ScoringMathTea, Lazarus’un kötü amaçlı yazılım araç setinde önemli bir evrimi temsil ediyor ve hem ağ hem de uç nokta güvenlik çözümlerinde tespitten kaçınmak için özel olarak tasarlanmış modüler bir mimari uyguluyor.
ESET Araştırma Ekibi’nin Ekim 2025’te yayınlanan araştırmasına göre ScoringMathTea, özellikle Ukrayna’ya drone teknolojisi sağlayan şirketlerin teknolojik bilgi birikimini çalmayı amaçlayan, insansız hava aracı (İHA) sektörünü hedef alan iki ayrı ölüm zinciri kapsamında tanımlandı.
RAT, yürütme üzerine bir iş parçacığını hemen başlatan ve komut ve kontrol (C&C) iletişimleri ve eklenti yönetimi yetenekleri için karmaşık bir temel oluşturan bir Dinamik Bağlantı Kitaplığı (DLL) olarak çalışır.
Kötü amaçlı yazılım, ilk yürütme aşamalarından itibaren birden fazla gizleme ve anti-analiz tekniği kullanır.
Başlatma sonrasında ScoringMathTea, Windows API işlevlerinin geleneksel içe aktarma tablolarında saklanmak yerine çalışma zamanında dinamik olarak konumlandırıldığı ve çözümlendiği bir API karma yöntemi uygular.
Bu yaklaşım, güvenlik araştırmacılarının ve antivirüs motorlarının, kötü amaçlı yazılımın hangi işletim sistemi işlevlerini kullandığını kolayca belirlemesini engeller. DllMain’den ScoringMathTea’nin Ana işlevine giden Proximity Tarayıcı.
Kötü amaçlı yazılımın kod tabanında yaklaşık 273 kez çağrılan karma çözümleme işleviyle, bu kaçırma mekanizmasının yaygın şekilde kullanıldığını gösteren uygulama, oldukça kapsamlı olduğunu kanıtlıyor.
Şifreleme ve İletişim Stratejisi
C&C iletişim altyapısı, komut yüklerini ağ düzeyinde tespitten korumak için tasarlanmış gelişmiş katmanlamayı ortaya çıkarır.
ScoringMathTea, birden fazla şifreleme ve kodlama aşamasını uygularken HTTP/HTTPS bağlantıları kurar.
İletişim Base64 kodlama, CBC modunda TEA/XTEA algoritması kullanılarak şifreleme ve isteğe bağlı sıkıştırma yoluyla korunur ve iletilen komutların gerçek doğasını gizleyen çok katmanlı bir kanal oluşturulur.
Kötü amaçlı yazılım, yasal web trafiğiyle harmanlamak için kendisini özellikle Windows 10’da Microsoft Edge sürüm 107 olarak tanımlayan meşru tarayıcı Kullanıcı Aracısı dizelerini taklit ediyor.
URL adresine ek olarak, null olarak bildirilen ancak operasyon sırasında eklenebileceğini düşündüğüm daha fazla C&C adresi için slotların oluşturulduğunu da gözlemlemek mümkün.
ScoringMathTea, C&C sunucusuna bağlanırken yanıtlardan HTTP başlık bilgilerini çıkarır; bu, kötü amaçlı yazılımın görünüşte meşru web sayfalarından şifrelenmiş verileri çıkarmasına olanak tanıyan bir tekniktir.
Bu yaklaşım, ağ trafiğini analiz ederken, tehlikeye atılan sistemin iletişimi yüzeysel olarak normal web tarama etkinliği gibi görünebileceğinden makul bir inkar edilebilirlik sağlar.
Özellikle dikkate değer bir özellik, imza tabanlı algılamayı karmaşık hale getirmek için sahte rastgele istek yüklerini kullanan işaret mekanizmasını içerir.
Kötü amaçlı yazılım, C&C altyapısıyla iletişim kurmak için 60 saniyelik bir kalp atışı aralığını koruyarak, anormallik tespit sistemlerini tetikleyebilecek ağ gürültüsünü en aza indirmeye çalışırken düzenli bir iletişim modeli oluşturuyor.
ScoringMathTea’nin en güçlü yetenekleri arasında, diske herhangi bir şey yazmadan ek kötü amaçlı eklentilerin çalışma zamanında indirilmesine ve bellek içinde yürütülmesine olanak tanıyan Reflective DLL Injection uygulaması yer almaktadır.
Bu tekniğin, dosya sistemi izlemeye veya çalıştırılabilir oluşturmanın davranışsal analizine dayanan güvenlik çözümlerine karşı özellikle etkili olduğu kanıtlanmıştır.
Eklenti yükleme mekanizması üç katmanlı bir mimari uygular. İlk olarak ana görev yöneticisi indirme işlemini düzenler.
İkinci olarak, bir eklenti yükleme orkestratörü, içe aktarma tablolarına dayanmadan sistem DLL’lerini dinamik olarak bulmak için gelişmiş bir teknik olan PEB (İşlem Ortamı Bloğu) Walking’i kullanarak ortamı hazırlar.
Üçüncüsü, yansıtıcı bir eklenti yükleyici, Windows yükleyici işlevini özelleştirilmiş bir şekilde manuel olarak uygulayarak, güvenlik yazılımının izleyebileceği geleneksel yükleyici kancalarından kaçınırken PE (Taşınabilir Yürütülebilir) dosyalarını belleğe eşler.
Yükleyici ayrıca eklenti bütünlüğünü doğrulayan ve hata ayıklamayı önleme amacıyla bir yazılım kesme noktası algılayıcısı olarak hizmet veren özel bir CRC32 sağlama toplamı algoritması içerir.
Diğerlerinin yanı sıra LocalAlloc, LocalFree, GetLastError gibi birden çok kez kullanılan API’leri ifade eden birkaç tekrarlanan API.
Başarılı bir eşlemenin ardından yükleyici, yüklenen eklenti içinde “exportfun” adlı dışa aktarılan bir işlevi tanımlar ve çalıştırır; operatörlere, tamamen sistem belleğinde rastgele kötü amaçlı işlevler yürütmek için standartlaştırılmış bir arayüz sağlar.
Teknik Gelişmişlik
ScoringMathTea’nin devreye alınması, Lazarus’un kaçırma odaklı kötü amaçlı yazılım altyapısı geliştirmeye devam eden yatırımını gösteriyor.
Ukrayna’yı destekleyen İHA üreticilerinin ve teknoloji tedarikçilerinin hedeflenmesi, jeopolitik çıkarlarla uyumlu açık bir stratejik hedefe işaret ediyor.
Kötü amaçlı yazılımın modüler tasarımı, eklenti dağıtımı yoluyla işlevselliğin hızlı bir şekilde genişletilmesine olanak tanıyor ve operatörlerin yeni kötü amaçlı yazılım örneklerine ihtiyaç duymadan belirli hedef ortamlara veya güvenlik duruşlarına uyum sağlayabileceğini gösteriyor.
Güvenlik araştırmacıları, ScoringMathTea’nin, karakter durumu zincirlemesi ile çok alfabetik ikame şifreleri kullanan özel dize kod çözme algoritmaları kullandığını ve bunun tersine mühendislik çabalarını daha da karmaşık hale getirdiğini belgeledi.
API hashing ve yansıtıcı yükleme teknikleriyle bir araya getirilen kötü amaçlı yazılım, karmaşık çalışma zamanı operasyonlarını gerçekleştirme becerisini korurken, statik analiz için zorlu bir zorluk teşkil ediyor.
ScoringMathTea, kanıtlanmış kaçırma tekniklerini, tespit ve analizi karmaşık hale getirmek için özel olarak tasarlanmış yeni uygulama yaklaşımlarıyla birleştirerek, ulus devlet kötü amaçlı yazılım geliştirmenin gelişen karmaşıklığını örneklendirmektedir.
Havacılık, savunma ve kritik altyapı sektörlerinde yer alan kuruluşlar, kapsamlı tehdit avlama prosedürlerini, davranışsal izleme sistemlerini uygulamalı ve bu kötü amaçlı yazılım ailesiyle ilişkili olağandışı özellikler sergileyen HTTP/HTTPS trafiğine karşı dikkatli olmalıdır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.