Siber güvenlik araştırmacıları, Kuzey Kore devlet destekli aktör tarafından kullanılan RokRAT uzaktan erişim truva atına daha yakından bakmayı teklif etti. ScarCruft.
“RokRAT, saldırı zincirinde kritik bir bileşen olarak gözlemlenen, tehdit aktörlerinin yetkisiz erişim elde etmelerini, hassas bilgileri sızdırmalarını ve potansiyel olarak güvenliği ihlal edilmiş sistemler üzerinde kalıcı kontrol sağlamalarını sağlayan, gelişmiş bir uzaktan erişim truva atı (RAT).” söz konusu.
En az 2012’den beri aktif olan ScarCruft, Kuzey Kore hükümeti adına faaliyet gösteren ve yalnızca güneydeki mevkidaşındaki hedeflere odaklanan bir siber casusluk grubudur.
Grubun Kuzey Kore Devlet Güvenlik Bakanlığı’na (MSS) bağlı bir unsur olduğuna inanılıyor. Grup tarafından kurulan saldırı zincirleri, kurbanları mızrakla avlamak ve hedef ağlara yük göndermek için büyük ölçüde sosyal mühendisliğe yaslandı.
Buna, Hancom’un Güney Kore’deki kamu ve özel kuruluşlar tarafından RokRAT adlı özel kötü amaçlı yazılımını sunmak için yaygın olarak kullanılan bir üretkenlik yazılımı olan Hangul Kelime İşlemcisindeki (HWP) güvenlik açıklarından yararlanma da dahildir.
DOGCALL olarak da adlandırılan Windows arka kapısı aktif olarak geliştirilmekte ve sürdürülmektedir ve o zamandan beri macOS ve Android gibi diğer işletim sistemlerine taşınmıştır.
AhnLab Güvenlik Acil Durum Müdahale Merkezi (ASEC) ve Check Point tarafından kanıtlandığı gibi, son hedef odaklı kimlik avı saldırıları, sonunda RokRAT kötü amaçlı yazılımının konuşlandırılmasıyla sonuçlanan çok aşamalı bulaşma dizilerini tetiklemek için LNK dosyalarını kullandı.
🔐 API Güvenliğinde Uzmanlaşma: Gerçek Saldırı Yüzeyinizi Anlamak
API ekosisteminizdeki kullanılmayan güvenlik açıklarını keşfedin ve güçlü güvenlik için proaktif adımlar atın. Bilgilendirici web seminerimize katılın!
RokRAT, saldırganın sistem meta verilerini toplamasına, ekran görüntüleri almasına, uzak bir sunucudan alınan rasgele komutları yürütmesine, dizinleri numaralandırmasına ve ilgili dosyalara sızmasına izin verir.
Geliştirme ASEC olarak geliyor ifşa her 60 dakikada bir harici bir URL ile iletişim kuracak şekilde yapılandırılmış kötü amaçlı yazılımları bırakmak için bir Hangul belgesi gibi görünen bir Windows çalıştırılabilir dosyasından yararlanan bir ScarCruft saldırısı.
ASEC, “Görev zamanlayıcıda kayıtlı URL normal bir ana sayfa gibi görünüyor, ancak bir web kabuğu içeriyor” dedi.