Kuzey Koreli Hackerlar, RokRAT Arka Kapısını Teslim Etmek İçin Araştırma Yemlerini Silahlandırıyor
Medya kuruluşları ve Kuzey Kore meselelerindeki yüksek profilli uzmanlar, Aralık 2023'te ScarCruft olarak bilinen bir tehdit aktörü tarafından düzenlenen yeni bir kampanyanın sonunda yer aldı.
SentinelOne araştırmacıları Aleksandar Milenkoski ve Tom Hegel, The Hacker News ile paylaşılan bir raporda, "ScarCruft, muhtemelen siber güvenlik uzmanları gibi tehdit istihbaratı tüketicilerini hedef alan bir tuzak olarak teknik bir tehdit araştırma raporunun kullanılması da dahil olmak üzere yeni enfeksiyon zincirlerini deniyor" dedi.
APT37, InkySquid, RedEyes, Ricochet Chollima ve Ruby Sleet adlarıyla da bilinen Kuzey Kore bağlantılı düşmanın, Devlet Güvenlik Bakanlığı'nın (MSS) bir parçası olduğu değerlendiriliyor ve bu da onu Keşif Genel Bürosu (RGB) içindeki unsurlar olan Lazarus Group ve Kimsuky'den ayırıyor.
Grup, Kuzey Kore'nin stratejik çıkarları doğrultusunda gizli istihbarat toplama nihai hedefiyle RokRAT ve diğer arka kapıları teslim etmek için hedef odaklı kimlik avı tuzaklarından yararlanarak hükümetleri ve sığınmacıları hedef almasıyla tanınır.
Ağustos 2023'te ScarCruft, tartışmalı füze programına fayda sağlamak için tasarlanmış "son derece arzu edilen bir stratejik casusluk görevi" olarak kabul edilen Lazarus Group ile birlikte Rus füze mühendisliği şirketi NPO Mashinostroyeniya'ya yapılan bir saldırıyla bağlantılıydı.
Bu haftanın başlarında, Kuzey Kore devlet medyası, ülkenin ABD, Güney Kore ve Japonya'nın tatbikatlarına yanıt olarak "sualtı nükleer silah sistemini" test ettiğini ve tatbikatları ulusal güvenliğine tehdit olarak nitelendirdiğini bildirdi.
SentinelOne tarafından gözlemlenen en son saldırı zinciri, Kuzey Kore Araştırma Enstitüsü'nün bir üyesi gibi davranarak Kuzey Kore işlerinde bir uzmanı hedef aldı ve alıcıyı sunum materyallerini içeren bir ZIP arşiv dosyasını açmaya çağırdı.
Arşivdeki dokuz dosyadan yedisi iyi huylu olsa da, ikisi kötü amaçlı Windows kısayol (LNK) dosyalarıdır ve daha önce Check Point tarafından Mayıs 2023'te RokRAT arka kapısını dağıtmak için açıklanan çok aşamalı bir enfeksiyon dizisini yansıtır.
13 Aralık 2023 civarında hedef alınan bazı kişilerin daha önce bir ay önce 16 Kasım 2023'te seçildiğini gösteren kanıtlar var.
SentinelOne, soruşturmasının ayrıca tehdit aktörünün planlama ve test süreçlerinin bir parçası olduğu söylenen iki LNK dosyası ("inteligence.lnk" ve "news.lnk") ve RokRAT sağlayan kabuk kodu varyantlarını ortaya çıkardığını söyledi.
Eski kısayol dosyası sadece meşru Not Defteri uygulamasını açarken, news.lnk aracılığıyla yürütülen kabuk kodu, RokRAT'ın konuşlandırılmasının önünü açıyor, ancak bu enfeksiyon prosedürü henüz vahşi doğada gözlemlenmedi ve gelecekteki kampanyalar için olası kullanımını gösteriyor.
Her iki LNK dosyasının da, Güney Koreli siber güvenlik şirketi Genians tarafından Ekim 2023'ün sonlarında yayınlanan Kimsuky tehdit grubu hakkında meşru bir tehdit istihbarat raporu olan aynı tuzak belgeyi, hedef listesini genişletme girişimini ima eden bir hareketle dağıttığı gözlemlendi.
Bu, düşmanın operasyonel oyun kitabını iyileştirmesine yardımcı olabilecek bilgileri toplamak ve ayrıca marka kimliğine bürünme teknikleri aracılığıyla belirli hedeflere sızmak için siber güvenlik uzmanlarını hedeflemek veya taklit etmek isteme olasılığını artırdı.
Gelişme, ulus devlet bilgisayar korsanlığı ekibinin, taktikleri ve teknikleri hakkında kamuoyuna açıklama yapılmasına yanıt olarak tespiti atlatmak için bariz bir çaba içinde çalışma şeklini aktif olarak değiştirdiğinin bir işaretidir.
Araştırmacılar, "ScarCruft, stratejik istihbarat elde etmeye kararlı olmaya devam ediyor ve muhtemelen kamuya açık olmayan siber tehdit istihbaratı ve savunma stratejileri hakkında bilgi edinmeyi planlıyor" dedi.
"Bu, düşmanın uluslararası toplumun Kuzey Kore'deki gelişmeleri nasıl algıladığını daha iyi anlamasını sağlıyor ve böylece Kuzey Kore'nin karar alma süreçlerine katkıda bulunuyor."
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı