Kuzey Koreli devlet destekli gelişmiş Kalıcı Tehdit (APT) Grubu Scarcruft, aldatıcı bir posta kodu güncelleme bildirimi ile Güney Koreli kullanıcıları hedefleyen sofistike yeni bir kötü amaçlı yazılım kampanyası başlattı.
Bu son saldırı, grubun operasyonel yeteneklerinde önemli bir evrimi temsil ederek, geleneksel casusluk araçlarının yanı sıra fidye yazılımlarının ilk dağıtımını işaret ediyor.
Kampanya, Scarcruft’un modern programlama dillerini benimsemesini ve tespit kaçakçılığını arttırmak için yenilikçi komuta ve kontrol altyapısını sergiliyor.
Saldırı zinciri, meşru bir posta hizmeti bildirimi olarak gizlenmiş bir RAR arşivine gömülü kötü niyetli bir LNK dosyası ile başlar.
.webp)
Yürütme üzerine LNK dosyası, daha sonra harici sunuculardan birden fazla yük getiren ve yürüten bir otomatik yükleyici dağıtarak, geleneksel güvenlik önlemlerini atlamak için tasarlanmış çok aşamalı bir enfeksiyon süreci oluşturur.
Bu kampanya, Scarcruft içinde gerçek zamanlı mesajlaşma platformları aracılığıyla çeşitli kötü amaçlı yazılım suşlarının dağıtılmasına odaklanan özel bir alt grup olan Chinopunk’a atfedildi.
S2W araştırmacıları, bu kampanyada dokuz farklı kötü amaçlı yazılım örneği tespit ettiler ve birkaçı tehdit grubu için önemli teknolojik ilerlemeleri temsil etti.
En önemli eklemeler arasında komut ve kontrol iletişimleri için pubnub’dan yararlanan bir arka kapı olan Nubspy ve daha önceki PowerShell sürümlerinden uyarlanmış pas tabanlı bir arka kapı olan Chillychino yer alıyor.
.webp)
Kampanya ayrıca, kurban dosyalarını .vcd uzantısı ile şifreleyen VCD fidye yazılımını da tanıttı ve Scarcruft’ın ilk belgelenmiş baskını fidye yazılımı dağıtımına işaretledi.
Teknik İnovasyon ve Tespit Kaçışı
Arka kapı gelişimi için pas programlama dilinin benimsenmesi, gelişmiş tespit kaçınma yeteneklerine yönelik stratejik bir değişimi temsil etmektedir.
Chillychino, Scarcruft’un mevcut PowerShell işlevselliğini üstün performans ve azaltılmış antivirüs algılama oranları sunan derlenmiş bir dile taşıyarak araç setlerini modernleştirme taahhüdünü gösteriyor.
Kötü amaçlı yazılım, Pubnub’ın meşru gerçek zamanlı mesajlaşma hizmetini komut ve kontrol kanalı olarak kullanır ve operatörlerin kötü amaçlı trafiği normal ağ iletişimi ile harmanlamasına olanak tanır.
// Example Rust-based C2 communication structure
pub struct C2Channel {
pubnub_client: PubNub,
channel_id: String,
encryption_key: [u8; 32],
}Bu kampanyanın teknik karmaşıklığı, fidye yazılımı yeteneklerinin konuşlandırılmasıyla birleştiğinde, Scarcruft’un geleneksel casusluk operasyonlarının ötesinde, Kuzey Kore siber savaş taktiklerinde bir evrimi temsil eden finansal olarak motive olmuş faaliyetlere doğru genişleyebileceğini gösteriyor.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın