Tehdit aktörlerinin meşru anlamlı bir Liking PDF belgesini silahlandırdığı gizli bir kampanya, “Ulusal Bilgi Araştırma Derneği (No. 52)” (Ulusal İstihbarat Araştırma Derneği Bülten-Sayı 52), National Information Betgi (52) .pdf.lnk adlı kötü niyetli pencereler kısayolu (LNK) dosyasının yanı sıra.
Saldırganlar her iki dosyayı da bir araya getirir – ya aynı arşiv içinde veya görünüşte ilgili ekler içinde.
Mağdurlar LNK dosyasını açtığında, sessizce, ek kötü amaçlı yazılımları indiren ve çalıştıran bir PowerShell yükü yürütür ve saldırganların hedef sistemde dayanak kazanmasına izin verir.
Başlıca hedefler, akademisyenler, eski hükümet yetkilileri ve araştırmacılar da dahil olmak üzere Ulusal İstihbarat Araştırma Derneği ile ilişkili bireyler gibi görünmektedir.
Düşmanlar hassas bilgiler çalmayı, kalıcılık oluşturmayı ve uzun vadeli casusluk yapmayı amaçlamaktadır.
Kanıtlar, en az 2012’den beri aktif olan Inkysquid, Scarcruft, Reaper, Grup123, Temp.
APT-37 tipik olarak Güney Kore’ye odaklansa da, operasyonları Japonya, Vietnam, Rusya, Nepal, Çin, Hindistan, Romanya, Kuveyt ve birkaç Orta Doğu ülkesini de etkiledi.
Enfeksiyon zinciri, bir kullanıcı LNK dosyasını açtığında başlar.
Bir Procmon izi, gömülü PowerShell komut dosyalarının .lnk’ün içinden birden fazla yük çıkardığını ortaya çıkarır.
Spesifik olarak, komut dosyası, PDF tuzağı için önceden tanımlanmış ofsetlerden ikili verileri, bir yükleyici ikili için 0x0007EDC1, komut dosyası komutları için 0x0015A851 ve son yük için 0x0015aed2’den ikili verileri okur.
Bu fragmanlar, % sıcaklık % dizininde ayrı dosyalar halinde (AIO0.DAT, AIO1.DAT, AIO2.dat ve AIO1+3.B+La+T) yeniden yapılandırılır.
Bir toplu dosya (aio03.bat) daha sonra PowerShell Invoke-Komutanlığı, son yükü tamamen bellekte yüklemeye çağırır ve yansıtıcı DLL enjeksiyonu yoluyla filtressiz yürütmeyi örnekler.
Bellek içi aşama, tek baytlı bir anahtar (0x35) kullanarak XOR ile şifreli yürütülebilir dosyayı (AIO01.dat) kodladı, GlobalAlloc ve VirtualProtect ile yürütülebilir bellek tahsis eder ve CreateTheRead aracılığıyla yeni bir iş parçacığı başlatır.
Çıkarılan yürütülebilir dosyanın analizi, klasik Rokrat kötü amaçlı yazılım davranışlarını ortaya çıkarır: ana bilgisayar parmak izi (WOW64 kontrolleri, bilgisayar adı, BIOS bilgileri dahil), anti-VM dosya oluşturma testleri, ekran görüntüsü yakalama rutinleri ve uzak kabuklu kodu yürütme, dosya yorulması, sistem süslemesi ve uzaktan komut yürütme için tek karakterli komutlar paketi.
Yük yükü, günlük.Alltop.asia’daki sabit kodlu bir C2 uç noktasına, daha sonra parçalarını kapsayacak şekilde yerel kopyaları silerek belgeleri (.doc, .xls, .ppt, .pdf,.
Kampanya 2, Kim Yō-Jong’un KCNA tarafından bildirilen 28 Temmuz açıklamasına atfedilen bir tuzak belgesi kullanarak benzer bir LNK tabanlı teslimat sunmaktadır.
.Lnk bir kelime belgesini (File.doc) bırakır ve Tony33.bat ve Tony32.dat üzerinden, Tony31.dat’ta depolanmış bir xor şifreli ikili yüke çift kodlayan Tony33.bat ve Tony32.dat üzerinden oldukça gizlenmiş bir PowerShell yükleyici başlatır.
0x37 tuşu kullanılarak kod çözüldükten sonra, yük doğrudan bellekte yürütülür, bulut depolamasından abs.tmp gibi ek bileşenleri indirir ve evreleme dosyalarını temizlemeden önce planlanan görevler aracılığıyla devam eder.
Her iki kampanya boyunca, APT-37, C2 kanallarını barındırmak için Dropbox, Pcloud ve Yandex.Disk) kamu bulut hizmetlerinden yararlanır.
Kötü amaçlı yazılım, dosyaları listelemek, yüklemek, indirmek ve silmek için kötü amaçlı trafiği normal bulut etkileşimleriyle harmanlamak için meşru API uç noktaları kullanır.
Bu gizli yaklaşım, grubun gelişmiş tradecraft ve geleneksel güvenlik kontrollerinden kaçınma yeteneğinin altını çiziyor.
Seqrite Lab, bu operasyonu Hanok Phantom olarak adlandırdı ve “Hanok” (한국, Kore), hem coğrafi odağı hem de kullanılan gizli, kaçamak teknikleri yansıtmak için “Phantom” ile birleştirdi.
Hanok Phantom, devlet destekli aktörlerin mızrak-akma metodolojilerini nasıl geliştirmeye, günlük dosya formatlarını silahlandırmaya ve uzun vadeli erişimi sürdürmek için filessiz yürütmeyi nasıl kucaklamaya devam ettiğini göstermektedir.
Savunucular, LNK tabanlı tehditlerin proaktif izlenmesini benimsemeli, bellek içi yürütme kalıplarının tespitini geliştirmeli ve dosya türü ve mime başlıklarındaki anormallikler için giden HTTP yüklemelerini incelemelidir.
Sadece katmanlı savunmalar ve tehdit istihbarat paylaşımı yoluyla kuruluşlar APT-37’nin gelişen cephaneliğinin yarattığı sürekli tehlikeyi azaltabilir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.