Genians Güvenlik Merkezi tarafından yapılan tehdit istihbarat araştırmasına göre, Kuzey Kore destekli tehdit aktörleri, kötü amaçlı belgeler sunmak ve hedeflenen sistemlere ilk erişimi sağlamak için büyük Kore yayın şirketlerinin yazarlarının kimliğine bürünüyor.
APT37 grubuna atfedilen “Artemis” kampanyası, uç nokta savunmalarını atlatmak için sosyal mühendisliği gelişmiş teknik kaçınma teknikleriyle birleştiriyor.
Saldırı, dikkatli keşif ve güven inşasıyla başlar. Tehdit aktörleri, tanınmış Kore televizyon programlarının yazarları gibi görünerek hedeflerle temasa geçiyor ve başlangıçta Kuzey Kore insan hakları ve sığınmacı konularıyla ilgili röportajlar veya oyuncu seçimi fırsatları talep ediyor.
Bu yaklaşım, meşru medya kuruluşlarının mağdurlarla yakın ilişki kurma konusundaki güvenilirliğini güçlendirir.
Saldırganlar, çok sayıda güven artırıcı konuşmanın ardından, görüşme anketleri veya etkinlik kılavuzları görünümüne bürünmüş kötü amaçlı Hangul Kelime İşlemci (HWP) belgelerini dağıtıyor.
Soruşturma, tehdit aktörlerinin ayrı yayın programlarındaki yazarların gerçek adlarını izinsiz olarak kullandıklarını, böylece güvenilirliklerini artırdığını ve belgelerin şüphelenmeyen hedefler tarafından yürütülmesi olasılığını artırdığını doğruladı.
Çok Aşamalı Teknik Kaçış
Kötü amaçlı HWP belgesi kurbana ulaştığında karmaşık bir saldırı zinciri tetiklenir. Belge, köprü görünümüne bürünmüş kötü amaçlı bir OLE (Nesne Bağlama ve Katıştırma) nesnesi katıştırıyor. Kullanıcılar bağlantıya tıkladığında uzlaşma süreci başlar.
Saldırı, meşru Microsoft Sysinternals yardımcı programlarının (VolumeId.exe, vhelp.exe ve mhelp.exe gibi) aynı dizinden kötü amaçlı DLL’ler yüklemek için istismar edildiği bir DLL yandan yükleme tekniğinden yararlanıyor.
Bu yaklaşım özellikle pratiktir çünkü imza tabanlı güvenlik çözümleri genellikle meşru sistem yardımcı programlarına izin vererek kötü amaçlı yazılımın güvenilir süreçler kisvesi altında yürütülmesine olanak tanır.
Kötü amaçlı veri, birbirini izleyen şifre çözme aşamalarında farklı anahtar değerleri (0xFA, 0xF9 ve 0x29) kullanan birden fazla XOR şifreleme katmanına tabi tutulur.
Bu gizleme tekniği statik analizi karmaşıklaştırır ve araştırmacının saldırı mekaniğini anlamasını geciktirir. Şifresi çözülen son veri, APT37’ye atfedilen karmaşık bir uzaktan erişim truva atı olan RoKRAT olarak etkinleştirilir.
C2 altyapısının analizi, APT37’nin komuta ve kontrol için yasal bulut hizmetlerinden yararlanmaya devam ettiğini ortaya çıkardı.
DLL yandan yüklemesi için kullanılan “version.dll” dosyasından Ekim’den Kasım 2025’e kadar sürekli olarak yararlanıldı.
Özellikle tehdit aktörleri, her ikisi de 19 Ekim 2023’te oluşturulan “tanessha.samuel” tanımlayıcısını kullanarak Yandex Cloud (Rusya merkezli) ve pCloud (İsviçre merkezli) hesaplarını kaydetti.
Bu coğrafi ve yargısal ayrım, atıfları karmaşıklaştırmaya ve coğrafi engellemeden kaçınmaya yönelik kasıtlı bir stratejiyi yansıtıyor.
Etkilenen sistemlerden kurtarılan hesap tokenleri, aktörlerin uzun süreler boyunca altyapıyı aktif olarak sürdürdüğünü ve yenilediğini gösteriyor; biri Ekim 2023’te, diğeri Şubat 2025’te oluşturuldu.
Bu model, yalıtılmış kampanya faaliyetlerinden ziyade sürdürülebilir operasyonel kapasiteyi ve uzun vadeli stratejik niyeti göstermektedir.
Tespit ve Yanıt
Geleneksel imza tabanlı güvenlik araçları, meşru süreç kötüye kullanımı ve çok aşamalı şifreleme nedeniyle bu saldırıya karşı mücadele ediyor.
Modül, XOR aracılığıyla sürekli 16 baytlık bir anahtar (0xF9) kullanarak bellekteki şifrelenmiş bloğun şifresini çözer ve ardından kontrolü aktararak tipik bir kabuk kodu yükleyici modelinin özelliklerini açıkça sergiler.
Davranışsal analiz yapabilen Uç Nokta Tespit ve Yanıt (EDR) çözümleri, özellikle meşru yardımcı programların DLL’leri şüpheli yollardan yüklediği veya HWP işlemlerinin rundll32.exe veya cmd.exe gibi beklenmedik alt işlemler ürettiği durumlarda anormal yürütme akışlarını tanımlamak için gereklidir.
Kuruluşlar aşağıdakiler için izlemeye öncelik vermelidir:
- Anormal yollardan yasal işlemlerle DLL yüklemesi.
- HWP uygulamalarından alt süreç oluşturma.
- Normal iş saatleri dışında bulut depolama hizmetlerine giden iletişim.
- Keşif, dosya bırakma ve bulut tabanlı C2 iletişimini içeren sıralı saldırı zincirleri.
Artemis kampanyası, APT37’nin gelişen yeteneklerinin ve operasyonel olgunluğunun altını çiziyor. Tehdit aktörü, güvenilir sosyal mühendisliği gelişmiş teknik kaçınmayla birleştirerek, Güney Kore ve müttefik ülkelerdeki yüksek değerli hedeflere kalıcı erişim sağlamaya yönelik açık bir stratejik niyet sergiliyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.