RedEyes (APT37, ScarCruft ve Reaper olarak da bilinir) olarak bilinen Kuzey Kore’den bir grup bilgisayar korsanı, kısa bir süre önce AhnLab Security’deki araştırmacılar tarafından “FadeStealer” adlı yeni bir bilgi hırsızı kullanarak tespit edildi.
FadeStealer, tehdit aktörlerinin kurbanların mikrofonlarını dinlemesine ve seslerini yakalamasına olanak tanıyan istisnai bir özellikle birlikte gelir ve bu özellik ‘telekulak’ olarak adlandırılır.
.png
)
RedEyes en az 2012’den beri aktif olarak biliniyor ve Kuzey Kore Devlet Güvenlik Bakanlığı’na (MSS) bağlı, devlet destekli bir APT grubu.
Cyber Security News, son zamanlarda hedeflenen kişilerden istihbarat toplama çabalarında yeni bir taktik benimseyen RedEyes Hacking Group (aka APT37) hakkında siber casusluk faaliyetleri nedeniyle başka bir olay bildirdi.
Bu bilgisayar korsanlığı grubu, Kuzey Kore’nin çıkarlarıyla uyumlu siber casusluk saldırılarına uzun süredir dahil olmasıyla tanınmaktadır ve odak alanları şunları içerir:-
- Kuzey Koreli hainler
- Eğitim Kurumları
- AB merkezli kuruluşlar
Saldırı Akışı
İlk ihlal, tehdit aktörü tarafından bir CHM dosyası kullanılarak gerçekleştirildi. Hedefler büyük olasılıkla parola korumalı belgeler ve parola dosyası kılığına girmiş gizli kötü amaçlı yazılımlar içeren hedef odaklı kimlik avı e-postalarıyla kandırıldı.
ASEC, kimlik avı e-postalarının insanları Windows bilgisayarlarına bulaşan belge parolasını almak için CHM dosyasını açmaya teşvik ettiğini düşünüyor.
CHM dosyası gizlice bir PowerShell betiği indirir ve açıldığında belge için sahte bir parola gösterir. Windows açıldığında, el bir arka kapı olarak çalışır ve otomatik olarak çalışmaya başlar.
PowerShell arka kapısı, saldırganlar tarafından işletilen komut ve kontrol sunucularına bağlanarak onlar tarafından gönderilen komutları alır ve yürütür.
Saldırının sonraki aşamalarında arka kapı, ek bir GoLang arka kapısı konuşlandırma amacına hizmet eder. Bu ikincil arka kapı, aşağıdaki gibi etkinlikleri mümkün kılar: –
- Ayrıcalık artışı
- Veri hırsızlığı
- Daha fazla kötü amaçlı yazılımın teslimi
FadeStealer araştırmacılarının yanı sıra, tehdit aktörleri tarafından kullanılan özel bir kötü amaçlı yazılım olan “AblyGo arka kapısı” da bulundu.
AblyGo arka kapısı, tehdit aktörleri tarafından kullanılan bir komuta kontrol platformu olarak çalışan API hizmet sağlayıcısı Ably’nin platformunu kullanır.
Bu platform aracılığıyla, base64 kodlu komutlar yürütme için arka kapıya gönderilirken, ortaya çıkan herhangi bir çıktı alınır ve daha sonra tehdit aktörleri tarafından alınır.
Araştırmacılar, arka kapı tarafından kullanılan Ably API anahtarını alarak, ASEC’in tehdit aktörlerinin yürüttüğü belirli komutları izlemeyi başardığını söyledi.
FadeStealer’ın dağıtımı
Sonunda, arka kapılar Windows cihazlarından farklı bilgileri çalan bir tür kötü amaçlı yazılım olan ‘FadeStealer’ı yükler.
Yasal bir Internet Explorer işlemi olan ‘ieinstall.exe’ye DLL yüklemesinin yardımıyla, kurulumdan sonra FadeStealer enjekte edilir.
Bunun yanı sıra her 30 dakikada bir de cihazdan veri çekip RAR arşivlerinde saklıyor.
Aşağıda, çaldığı veri türlerinden bahsetmiştik: –
- Ekran görüntüleri
- Günlüğe kaydedilen tuş vuruşları
- Bağlı akıllı telefonlardan toplanan dosyalar
- Bağlı çıkarılabilir cihazlardan toplanan dosyalar
- mikrofon dinleme
Ayrıca, birden fazla Kuzey Koreli tehdit aktörü, kötü amaçlı yazılım dağıtmak için CHM dosyalarını kullanır ve RedEyes (APT37, ScarCruft ve Reaper olarak da bilinir) bunlardan yalnızca biridir.
Uç Noktalarınızı Verimli Bir Şekilde Yönetin ve Güvenliğini Sağlayın – Ücretsiz indirin