APT37 olarak bilinen Kuzey Kore devlet destekli tehdit aktörü, “VeilShell” adı verilen yeni bir arka kapıyı dikkatlice yayıyor. Hedefi dikkat çekicidir: Kuzey Kore’nin gelişmiş kalıcı tehditlerinin (APT’lerin) çoğunun Güney Kore veya Japonya’daki kuruluşları hedef alma geçmişi vardır, ancak APT37’nin son kampanyası, Kim Jong-Un’un daha karmaşık ilişkilere sahip olduğu bir ülkeye yönelik gibi görünüyor: Kamboçya.
Pyongyang’ın Phnom Penh’de hâlâ bir büyükelçiliği olmasına ve iki ülkenin bölgedeki Sovyet bağları geçmişini paylaşmasına rağmen, ikisi arasındaki günümüz ilişkileri pek de samimi olmaktan uzak. Kuzey Kore’nin nükleer silah programı, devam eden füze testleri, siber faaliyetleri ve komşularına yönelik genel saldırganlığı, Kamboçya’nın kitle imha silahları (KİS) konusundaki tutumuyla ve bölgedeki tüm ülkeler ve bölgedeki gözlemciler arasında anlamlı diplomatik diyalog çağrısıyla çelişiyor. not ettim.
” adlı yeni bir kampanyayı başlatan Securonix’e göre bu ihtiyatlılık Kuzey Kore rejiminin dikkatini çekti.Örtülü#Uyku” Kamboçyalı örgütlere karşı dolaşıyorlar.
Securonix ayrıntılı mağduriyet bilgilerini paylaşmadı, ancak hedefleri cezbetmek için APT37 (diğer adıyla InkSquid, RedEyes, BadRAT, Reaper, ScarCruft ve Ricochet Chollima) Kamboçya meseleleriyle ilgili ve Kamboçya’nın ana dili Khmer’de kötü niyetli e-postalar yayıyor. Örneğin bir yem, alıcılara sosyal hizmet, eğitim, sağlık ve tarım gibi ülkedeki çeşitli sektörlerde ABD doları cinsinden yıllık gelirle ilgili bir elektronik tabloya erişim olanağı sunuyor.
Bu e-postaların içinde, hedeflenen ağlarda sessiz bir kalıcılık oluşturmak için kullanılan, arka kapıyı gizleyen, kötü niyetli olarak hazırlanmış kısayol dosyaları gizlidir.
Shrouded#Sleep’in Gizli Kısayolları
Bulaşma rutini açısından Shrouded#Sleep enfeksiyonu, diğer pek çok kişinin yaptığı gibi, bir Windows kısayol (.LNK) dosyası içeren bir .ZIP arşiviyle başlar.
Securonix’in kıdemli tehdit araştırmacısı Tim Peck, “Bu çok yaygın bir durum; tehdit aktörünün dart tahtasına dart atarsanız muhtemelen bir kısayol dosyası vurulacaktır” diyor. “Kolay ve etkili. Kimlik avı e-postalarıyla çok iyi eşleşiyor. Ayrıca maskelenmesi de kolay.”
Windows, .LNK dosya uzantısını varsayılan olarak gizler ve bunun yerine dosya simgesinin sol alt köşesinde küçük bir ok koyarak genel olarak daha temiz bir kullanıcı arayüzü sağlar. Sonuç olarak APT37 gibi saldırganlar, .LNK’nin varsayılan simgesini kendi seçtikleri bir başka simgeyle değiştirebilir ve dosyanın gerçek doğasını gizlemek için çift uzantı kullanabilirler.
APT37, kısayol dosyalarına PDF ve Excel simgeleri verir ve bunlara “.pdf.lnk” veya “.xls.lnk” gibi çift uzantılar atayarak, uzantının yalnızca .PDF ve .XLS bölümlerinin kullanıcılara gösterilmesini sağlar.
Sonunda Peck şunu belirtiyor: “Microsoft’un kısayol dosyalarına eklediği küçük oku aramıyorsanız, muhtemelen onu kaçırabilirsiniz.” Mantıksız derecede keskin gözlü bir kurban, boyutları yalnızca birkaç kilobayt olan tipik kısayol dosyalarının aksine, bunların 60 ila 600 kilobayt arasında olduğunu fark etmiş olabilir.
Bu kilobaytların içinde, Securonix’in “VeilShell” adını verdiği APT37’nin kötü amaçlı yükü bulunuyordu.
VeilShell’in Hasta Kalıcılığı
SHROUDED#SLEEP kampanyası, arazide yaşama ve özel araçların son teknoloji ürünü karışımının yanı sıra etkileyici dayanıklılık ve gizlilik mekanizmasıyla dikkat çekiyor.
Securonix analizine göre, “Bu, güvenliği ihlal edilmiş sistemler üzerinde uzun vadeli kontrol elde etmek için birden fazla yürütme katmanından, kalıcılık mekanizmalarından ve çok yönlü bir PowerShell tabanlı arka kapı RAT’ından yararlanan, Güneydoğu Asya’yı hedefleyen karmaşık ve gizli bir operasyonu temsil ediyor.” “Bu araştırma boyunca, tehdit aktörlerinin yüklerini metodik bir şekilde nasıl hazırladıklarını ve savunmaları atlatmak ve hedeflerine erişimi sürdürmek için meşru araç ve tekniklerin ilginç bir kombinasyonunu nasıl kullandıklarını gösterdik.”
Örneğin VeilShell, çok işlevli, PowerShell tabanlı bir arka kapı artı uzaktan erişim truva atıdır (RAT). RAT’ların yapma eğiliminde olduğu her şeyi yapabilir: Dosya indirme ve yükleme, sistemdeki mevcut dosyaları değiştirme ve silme, sistem ayarlarını değiştirme, kalıcılık için zamanlanmış görevler oluşturma vb.
Özellikle, APT37 aynı zamanda kalıcılığa da ulaşıyor AppDomainManager enjeksiyonu.NET uygulamalarına kötü amaçlı kod eklenmesini içeren daha nadir bir tekniktir.
Tüm bu kötü amaçlı işlevler ve teknikler, aksi takdirde hedeflenen sistemlerde çok fazla gürültüye neden olabilir, bu nedenle APT37, dengeleme sağlamak için bazı hileler kullanır. Örneğin, saldırı zincirinin farklı aşamalarını kırmak için uzun uyku zamanlayıcıları uygulayarak kötü niyetli etkinliklerin bariz bir şekilde art arda meydana gelmemesini sağlar.
Peck’in söylediği gibi, “Tehdit aktörleri inanılmaz derecede sabırlı, yavaş ve metodikti. Çok sayıda uzun uyku zamanlayıcısı kullandılar; farklı saldırı aşamaları arasında yaklaşık 6.000 saniyeden bahsediyoruz. Ve asıl amaç, [of the shortcut file] sahneyi hazırlamaktı. Aslında herhangi bir kötü amaçlı yazılım çalıştırmadı. Dosyaları, sistemin bir sonraki yeniden başlatılmasında kendi başlarına çalıştırılmalarına izin verecek bir konuma bıraktı. Bu yeniden başlatma, kullanıcının bilgisayarını nasıl kullandığına bağlı olarak aynı gün veya bir hafta sonra olabilir.”
Belki de kendine güveni ve sabrı olan bir tehdit aktörünün simgesiydi. “Çoğu zaman bu tür kampanyaların içine girip çıktığını görüyoruz. Ancak bu kesinlikle gizlilik düşünülerek tasarlandı” diyor.