Kuzey Kore’nin APT37 tehdit grubu, Microsoft’un geçen yıl Office belgeleri aracılığıyla kötü amaçlı yazılım dağıtımını önlemek için makroları varsayılan olarak engellemeye başlamasının ardından, düşmanların kötü amaçlı yükleri dağıtmak için LNK veya kısayol dosyalarını kullanmaya nasıl yöneldiğine dair yeni kanıtlar sunuyor.
Yıllardır APT37’yi izleyen Check Point Research, bu hafta, tehdit aktörünün Güney Kore iç ve dış işleri ile ilişkili kuruluşlara ait sistemlerde RokRAT adlı bir uzaktan erişim truva atı (RAT) teslim etmek için LNK dosyalarını kullandığını gördüğünü bildirdi.
Meşru Belgeler Kılığında
LNK dosyaları, meşru belgeler kılığında hedef sistemlere iniyor. Check Point’in analiz ettiği bir saldırıda saldırgan, kötü amaçlı LNK dosyasını bir PDF olarak gizledi ve onu Libya Petrol ve Gaz Endüstrisine ait üç meşru ancak çalıntı belgeyle birlikte bir ZIP arşivine dahil etti. Nisan 2023’teki bir saldırıda tehdit aktörü, Güney Kore diplomasisi ve Kuzey Kore ile ilgili politika kararlarıyla ilgili içerik barındırdığı iddia edilen iki kötü niyetli LNK’yı yerleştirmek için bir ISO kullandı.
Check Point araştırmacıları bulundu her iki durumda da bir kullanıcı LNK dosyasına tıkladığında, LNK’dan bir belge çıkaran, onu diske bırakan ve açan bir PowerShell betiğinin yürütülmesini tetikledi. Belge, kurbanları meşru bir PDF veya Güney Koreli Hangul Kelime İşlemci (HWP) dosyasını açtıklarına inandıran bir tuzaktı.
Bununla birlikte, arka planda, PowerShell betikleri ayrıca LNK’dan bir BAT betiği çıkardı ve bu da, RokRAT’ın sisteme yüklenmesiyle sonuçlanan OneDrive’dan bir yükü indirmek için başka bir PowerShell betiğini yürütür.
Check Point’teki tehdit istihbarat grubu yöneticisi Sergey Shykevich, bu tür çok aşamalı bir kötü amaçlı yazılım dağıtım sürecinin, defans oyuncusu için analizi zorlaştırabileceğini söylüyor. Örneğin, bir PDF dosyası gibi görünen LNK dosyasıyla, kurban LNK dosyasına tıkladıktan sonra iki dosya yükleyen bir PowerShell yükler.
İlki, kurbanı kandırarak her şeyin yolunda olduğunu düşündüren meşru bir PDF’dir. Diğeri, “belirli bir OneDrive’dan yeni bir PowerShell çalıştıran ve RokRAT’ı yükleyen bir yükü çalıştıran kötü amaçlı bir komut dosyasıdır” diyor. “Çoklu aşamalandırma, tüm bulaşma zincirini izlemeyi ve – ağda bir kötü amaçlı yazılım tespit edilirse – ilk bulaşma vektörünü anlamayı zorlaştırıyor.
İlk Enfeksiyon Taktiklerini Değiştirme
ScarCruft ve Reaper olarak da bilinen APT37, en az 2012’den beri aktiftir. Grup, yıllar içinde biri sıfır gün hatasından yararlanan Güney Kore diplomatik hedeflerini hedef alan Daybreak Operasyonu ve diğeri de dahil olmak üzere çok sayıda kampanyayla ilişkilendirilmiştir. adlı bir arka kapı içeren AltınArka Kapı Güney Koreli gazetecileri hedef aldı.
APT37’nin kötü amaçlı yazılım dağıtımı için LNK dosyalarını kullanmaya geçişi, bir anlamda, Microsoft makroları devre dışı bırakmaya karar verdi geçen yıl internetten indirilen dosyalarda varsayılan olarak. Microsoft’un kararını ilk olarak duyurmasından önce – Şubat 2022’de – tüm tehditlerin yaklaşık %31’i bir araştırmaya göre, Office belgelerindeki ilgili makrolar. Bu sayı, Microsoft’un kararının 2022’nin ikinci yarısında yürürlüğe girmesinden sonra – bir an için şirketin planı uygulamayacak gibi göründükten sonra – önemli ölçüde düştü.
Kabuk Bağlantısı, veya LNK dosyaları, sistemdeki diğer dosyalara, klasörlere ve sürücülere kısayol sağlayan Windows dosyalarıdır. Bir kullanıcı, bir LNK dosyasına tıklayarak, uygulamaya manuel olarak gitmek zorunda kalmadan ilgili dosyayı veya uygulamayı açabilir. LNK dosyaları, bir kullanıcının sık kullanılan dosyalara ve yazılımlara erişmesi için uygun bir yol sağlar ve genellikle güvenli kabul edilir.
Siber Saldırganların Çekici Olduğu LNK Dosyası
Ancak LNK dosyalarının onu saldırganlar için ideal kılan özellikleri var, diyor Shykevich. “LNK’nın etkinliği çoğunlukla, saldırganın LNK dosyasını neredeyse tüm diğer dosya türleri gibi gösterebilmesinden kaynaklanır” diyor. Örnek olarak PDF ve Doc dosyalarını gösteriyor. “Ayrıca saldırganın farklı türde betikleri kolayca çalıştırmasına olanak tanır. [such as] APT37 durumunda BAT komut dosyaları,” diyor Shykevich. Kullanıcı için en büyük zorluk, bu tür dosyalara yeterince dikkat etmek ve bunların gerçekten LNK dosyaları olduğundan emin olmaktır.
Geçen yıl boyunca, saldırganlar Emotet, IcedID ve Quakbot, McAfee ve diğerleri gibi kötü amaçlı yazılımları dağıtmak için LNK dosyalarını kullandılar. Saldırılar, tehdit aktörlerinin kullandığı spam, kimlik avı e-postaları ve kötü amaçlı URL’ler LNK’leri kullanıcılara ulaştırmak için. Saldırganların bu taktiği giderek daha fazla benimsemesi, kötü amaçlı LNK dosyaları oluşturmak için bir dizi ticari bağlantı oluşturma aracı da ortaya çıkardı. Bu araçların bazı örnekleri şunları içerir: Quantum Lnk Oluşturucugeçen yıl, ömür boyu erişim için ayda yaklaşık 200 ABD Doları ile yaklaşık 1.600 ABD Doları arasında değişen oranlarda sevkiyata başlayan, MLNK Oluşturucu yapı başına 125 ABD Doları karşılığında kullanılabilir ve makro paketi.