Scarcruft olarak bilinen Kuzey Kore devlet destekli ileri süren tehdit (APT) grubu, Güney Koreli kullanıcıları hedefleyen sofistike bir kötü amaçlı yazılım kampanyasıyla bağlantılıdır.
Posta kodu güncelleme bildirimi olarak gizlenen bu enfeksiyon zinciri, S2W’nin Tehdit Analizi ve İstihbarat Merkezi (Talon) ile ortaya çıkarıldı ve Chinoto kötü amaçlı yazılımını dağıtan bir alt grup olarak adlandırdı.
İlk olarak 2016 yılında belirlenen Scarcruft, tarihsel olarak Güney Kore’deki Kuzey Kore defektörlerine, gazetecilere ve devlet kuruluşlarına karşı casusluk üzerine odaklanmıştır, ancak erişimi Japonya, Vietnam, Rusya, Nepal ve Orta Doğu ülkelerine genişlemiştir.
Bu son kampanya, grubun geleneksel casusluk merkezli taktiklerinden sapan ve finansal olarak motive olmuş aksamalar veya gasp için potansiyel bir pivot öneren fidye yazılımı dağıtımını ve pas tabanlı arka kapıları içeren dikkate değer bir evrimi işaret ediyor.
Kuzey Koreli apt’den ortaya çıkan tehdit
Saldırı, yürütme üzerine bir otomatik yükleyici dağıtan bir rar arşivinde gizlenmiş kötü niyetli bir LNK dosyası ile başlar.
Bu yükleyici daha sonra, bilgi samanlıları, fidye yazılımı ve backdoors dahil olmak üzere harici bir komut ve kontrol (C2) sunucusundan bir dizi yükü alır ve yürütür.
Talon’un analizi, Scarcruft’un çeşitli programlama dillerinden ve C2 iletişimleri için gerçek zamanlı mesajlaşma platformlarından yararlanmada uyarlanabilirliğini sergileyen dokuz farklı kötü amaçlı yazılım örneği tanımladı.
Bunlar arasında, Nubspy, Pubnub’ın gizli C2 işlemleri için yayınlama-abone mesajlama altyapısını kullanan ve geleneksel sunucu bağımlılıkları olmadan çift yönlü komut yürütme ve veri eksfiltrasyonuna izin veren bir arka kapı olarak öne çıkıyor.
En az 2017’den beri gözlemlenen Pubnub ve Ably gibi hizmetlere olan bu güven, ağ tabanlı algılama mekanizmalarının kaçırılması için meşru bulut tabanlı mesajlaşmayı kötüye kullanma modeliyle uyumlu olduğu için Scarcruft’a atıfta bulunur.
Teknik Yenilikler
Kötü amaçlı yazılım cephaneliğine daha derinlemesine giren Lightpeek, keşif, hasat sistemi meta verileri, tarayıcı kimlik bilgileri ve hedeflenen eksfiltrasyon için dosya listeleri için tasarlanmış bir PowerShell tabanlı bilgi çalma olarak ortaya çıkar.
Bunu tamamlayan TxpyLoader, işlemsel NTFS işlemlerini kullanarak, bellek adli tıp ve uç nokta algılama ve yanıt (EDR) araçlarından kaçmak için işlemsel NTFS işlemlerini kullanan bir işlem enjeksiyon tekniğini kullanan python-yazılı bir yükleyicidir.
Scarcruft ile ilişkili daha önce belgelenmiş bir araç olan Fadestealer, şifrelenmiş kanallar aracılığıyla veri eksfiltrasyonunu kolaylaştırırken, yeni gözlenen VCD fidye yazılımı kurban dosyalarını .vcd uzantısı ile şifreler, büyük bir kriptografik algoritmalar kullanılarak, AES veya benzeri bir simetrik cipiperlerden türetilen sağlam kriptografik algoritmalar kullanıyor.
Belki de en ilgi çekici olan, daha önceki bir PowerShell varyantından taşınan pas tabanlı bir arka kapı olan ChillyChino’dur, bu da Rust’un bellek güvenliğini ve performans özelliklerini tersine mühendislik ve çalışma zamanı analizine karşı dayanıklılığı artırmak için kullanır.
Bu kampanyanın teknik karmaşıklığı, Scarcruft’un iç alt grubunun altını çiziyor ve Chinopunk, S2W tarafından dahili olarak “kısmen tanımlanamayan Kuzey Kore tehdit oyuncusu” olarak etiketlendi.
Grubun AblyGo gibi önceki araçlarda görüldüğü gibi Rust and Go gibi modern dilleri benimsemesi, platformlar arası uyumluluğa, azaltılmış güvenlik açıklarına ve statik ve dinamik analizi engellemek için gelişmiş sersemlemeye stratejik bir vurgu gösteriyor.
Fidye yazılımlarının dahil edilmesi, Scarcruft’un tarihsel kesintisiz keşif odağından ayrılarak, casusluğu etkisi artırmak veya gasp yoluyla gelir elde etmek için yıkıcı yeteneklerle harmanlayan bir paradigma değişimini temsil eder.
Atıf, paylaşılan şifreleme rutinleri ve C2 desenleri gibi kod örtüşmeleri ile desteklenir ve bu örnekleri önceki chinotto dağılımlarına bağlar.
Nubspy’nin C2 için pubnub kullanımı, Scarcruft’un gerçek zamanlı platformların kalıcı olarak kullanılması, kötü amaçlı trafiği meşru API çağrılarıyla harmanlarken düşük gecikmeli komut rölesini mümkün kılar.
Bu sadece tehdit avını karmaşıklaştırmakla kalmaz, aynı zamanda grubun açık kaynaklı veya halka açık kod tabanlarını ısmarlama tehditlere uyarlamadaki operasyonel olgunluğunu da vurgular.
Siber savunmalar geliştikçe, Scarcruft’un kötü amaçlı yazılım geliştirmedeki yenilikleri, arka planları paslanmaya yönelik otoit yükleyicileri kapsayan yenilikler, devam eden bir silah yarışına işaret ederek kuruluşları bulut mesajlaşma hizmetlerinin izlenmesini desteklemeye ve bu tür polimorfik tehditleri tespit etmek için gelişmiş davranışsal analitikler uygulamaya çağırıyor.
Tam teknik rapor, uzlaşma ve azaltma stratejilerinin diğer göstergelerini detaylandırırken, bu kampanya, küresel siber güvenlik duruşları için çıkarımlarla devlet destekli casusluk ve siber suçlar arasındaki bulanıklık çizgilerini kesin bir hatırlatma görevi görüyor.
The Ultimate SOC-as-a-Service Pricing Guide for 2025– Ücretsiz indir