Siber casusluk faaliyetleriyle tanınan bir tehdit grubu olan RedEyes Hacking Group (aka APT37), son zamanlarda hedeflenen kişilerden istihbarat toplama çabalarında yeni bir taktik benimsedi.
Bu grup şu anda, güvenlik yazılımı tarafından tespit edilmekten kaçınmak için özel olarak tasarlanmış “M2RAT” adlı karmaşık bir kötü amaçlı yazılım kullanıyor.
APT37, M2RAT kullanmaya ek olarak, faaliyetlerini daha fazla gizlemek için görünüşte zararsız dosya veya görüntüler içindeki bilgileri gizleyen bir teknik olan steganografiyi de kullanıyor.
APT37 hack grubunun Kuzey Kore tarafından desteklendiği düşünülüyor ve siber casusluk alanında faaliyet gösteriyor. APT37, aşağıdakiler gibi diğer isimlerle de bilinirken: –
Kimlik Avı ile başlar
2022 yılında, bu kötü şöhretli bilgisayar korsanlığı grubunun, popüler web tarayıcısı Internet Explorer’daki sıfır gün güvenlik açıklarından yararlandığı gözlemlendi.
Bu grup, bu istismarları, hedefledikleri kuruluşlara ve bireylere çeşitli kötü amaçlı yazılım türlerini dağıtma çabalarının bir parçası olarak kullandı.
AhnLab Güvenlik Acil Müdahale Merkezi (ASEC) tarafından yakın zamanda bir dizi siber saldırı gözlemlendi. Bu saldırılar Ocak 2023’te başladı ve kötü amaçlı ekler içeren kimlik avı e-postalarının seçili kurbanlara hedefli olarak dağıtılmasını içeriyordu.
Saldırganlar, hedeflerini e-postayı açmaya ve eki indirmeye ikna etmek için sosyal mühendislik taktiklerini kullandı.
Bir kullanıcı son siber saldırı serilerinde dağıtılan kötü amaçlı eki açtığında, CVE-2017-8291 olarak tanımlanan eski bir EPS güvenlik açığından yararlanmayı tetikler.
Bu güvenlik açığı, Güney Kore’de yaygın olarak kullanılan Hangul kelime işlemcisinde mevcuttur.
Saldırganın kurbanın bilgisayarında kabuk kodu çalıştırmasına izin verebilecek belirli bir açıktan yararlanma tespit edildi. Bu açıklardan yararlanma, bir kullanıcı saldırgan tarafından kurcalanmış bir JPEG görüntüsünü açtığında tetiklenecek şekilde tasarlanmıştır.
İstismar tetiklendiğinde, kurbanın bilgisayarının JPEG görüntüsünde depolanan kötü amaçlı bir yükü indirmesine ve yürütmesine neden olur.
Tehdit aktörleri grubu, mobil arka kapılarının “Dolphin” olarak bilinen yeni bir varyantını konuşlandırarak dikkatlerini Avrupa Birliği merkezli çeşitli kuruluşlara yöneltti.
Buna ek olarak grup, saldırılarında “Konni” adlı özelleştirilmiş bir uzaktan erişim trojanı (RAT) da kullandı.
Saldırganlar ayrıca ABD’de bulunan gazetecileri, saldırganların amaçlarına bağlı olarak bir dizi özelleştirme seçeneğine izin veren “Goldbackdoor” olarak adlandırılan oldukça esnek bir kötü amaçlı yazılım türüyle hedef aldı.
M2RAT kötü amaçlı yazılımı, iletişim kurmak ve verileri aktarmak ve etkinliklerini gizlemek için paylaşılan bir bellek bölümü kullanır ve virüslü cihazda minimum iz bırakır.
M2RAT ve Komutların C&C’si
APT37 tehdit grubu tarafından kullanılan M2RAT kötü amaçlı yazılımı, saldırganın C&C sunucusuyla iletişim kurmak için özel bir yöntem kullanır. Spesifik olarak, M2RAT komutları sunucudan POST yönteminin gövdesine yerleştirerek alır.
Bu, saldırganın kötü amaçlı yazılıma, güvenlik yazılımının algılaması daha zor olacak şekilde talimat göndermesine olanak tanır.
Aşağıda, kullanılan tüm komutlardan bahsettik: –
- OKR: İlk C&C iletişim bağlantısı sırasında alınan komutlar
- URL: C&C güncellemesi için kayıt defteri anahtarı değeri değişikliği
- UPD: Şu anda bağlı olduğunuz C&C’yi güncelleyin
- RES: C&C bağlantı sonlandırma (M2RAT sonlandırma)
- UNI: C&C bağlantı sonlandırma (M2RAT sonlandırma)
- CMD: Uzaktan kontrol komutlarını yürütün (keylogging, işlem oluşturma/yürütme, vb.)
M2RAT’ın saldırgan sunucusu, kurban sistemi tespit etmek için tanımlayıcı olarak ana bilgisayarın MAC adresini kullanır. Bu durumda, saldırganın sunucusu, kurbanın bilgisayarını tanımlamak için MAC adresinin kodlanmış değerini kullanır.
Windows ve Mobil Cihazlar M2RAT Tarafından Hedefleniyor
M2RAT, saldırganların virüslü bir sisteme uzaktan erişim elde etmelerini ve bir dizi kötü amaçlı etkinlik gerçekleştirmelerini sağlar ve bunlar şunları içerir:-
- Keylogging
- Veri hırsızlığı
- Komut yürütme
- Masaüstünden ekran görüntüsü alma
Periyodik olarak ekran görüntüleri alınmakta ve özelliğin aktif hale gelmesi için herhangi bir operatöre özel bir komut verilmesine gerek kalmadan özellik çalıştırılmaktadır.
Özellikle, kötü amaçlı yazılımın Windows bilgisayarı ona bağlı herhangi bir taşınabilir cihaz için tarayabilmesi ilginçtir.
Taşınabilir bir cihazın tespit edilmesi üzerine, cihazda bulunan tüm belgeleri ve ses kayıtlarını belirlemek için bir tarama yapılacaktır. Herhangi bir dosya tespit ederse, tespit edilen dosyaları kopyalar ve daha sonra bunları saldırgan tarafından kontrol edilen bir sunucuya sızdırır.
APT37’nin, özel araç setinin bir parçası olarak tespit edilmesi ve analiz edilmesi zor olan, kaçamak amaçlı kötü amaçlı yazılım kullanımında istikrarlı bir artış olmuştur.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin