Giriş
Kuzey Kore destekli siber saldırı grubu ScarCruft (diğer adıyla APT37), Microsoft hesap güvenlik bildirimlerini taklit eden oltalama mesajları kullanarak NarwhalRAT adlı bir zararlı yazılım dağıttığı tespit edilmiştir. Bu saldırı, kullanıcıları yanıltarak zararlı yazılımın yüklenmesini sağlamak amacıyla tasarlanmıştır.
Saldırı Nasıl Çalışıyor?
ScarCruft grubu, saldırı e-postasında “MS hesap güvenlik bildirimi” taklidi yapmaktadır. E-posta, aşağıdaki unsurlarla doludur:
- Kullanıcının hesap güvenliği ile ilgili endişe yaratan mesajlar.
- Bir “uyarı” belgesine atıfta bulunarak kullanıcıları dosyayı açmaya teşvik etme.
- Açıkça bir HWP (Hangul Word Processor) belgesi olması gerektiği söylenen, ancak aslında zararlı bir LNK dosyası içeren bir ZIP arşiv.
Kullanıcılar, şifrelerinin kötüye kullanılması riskiyle ilgili bir mesaj alarak paniğe kapılmakta ve bu nedenle yüklemeyi başlatmaktadır.
Etkilenen Sistemler
Bu saldırı, temel olarak Windows işletim sistemlerinde etkili olmaktadır. Kullanıcılar, LNK dosyası aracılığıyla zararlı yazılımı çalıştırdıklarında, aşağıdaki işlemler gerçekleştirilecektir:
- NarwhalRAT zararlısı, çok aşamalı bir enfeksiyon zinciri oluşturarak bakım görevlerini yönetir.
- Mevcut Python executable dosyasını ve Windows güvenlik katalogu (CAT) dosyasını indirir.
- Kendi kendini güncelleme ve kalıcılık sağlamak amacıyla zamanlanmış görevler oluşturur.
Zararlı yazılım, kullanıcı bilgilerini ele geçirmek üzere çeşitli yeteneklere sahip olup, aşağıdaki işlemleri gerçekleştirebilir:
- Tuş kaydı yapma.
- Screenshot alma (yüksek çözünürlük desteğiyle).
- Çevre sesi kaydetme.
- Dizin içeriklerini yükleme.
- Aktif pencere detaylarını toplama.
- USB medya bilgilerinden veri toplama.
- Komut ve kontrol (C2) sunucusundan gelen komutları yerine getirme.
Çözüm ve Korunma
Zararlı yazılımı önlemek ve etkilerinden kurtulmak üzere aşağıdaki adımlar izlenmelidir:
- Tüm kullanıcıların e-posta ile gelen bağlantılara dikkat etmesi ve tanımadıkları dosyaları açmamaları önemlidir.
- Güvenlik güncellemeleri ve yazılım yamaları düzenli olarak uygulanmalıdır.
- Antivirüs yazılımlarının güncel tutulması ve tarama yapılması gereklidir.
- Ağ güvenlik duvarlarının etkin olduğundan emin olunmalıdır.
Kullanıcılar, NarwhalRAT zararlısına maruz kalmamak için dikkatli olmalı ve hesap güvenliği ile ilgili her türlü iletişimde titiz davranmalıdır.
Sonuç
Sonuç olarak, kullanıcıların güncellemeleri düzenli olarak yüklemeleri, şüpheli bağlantılara tıklamamaları ve kimlik bilgilerini korumak için ek güvenlik önlemleri almaları önem arz etmektedir. Gerekirse portları kapatmak ve sistemi yeniden gözden geçirmek faydalı olacaktır.
