Kuzey Kore’nin Yeni Phishing Saldırısı: ScarCruft ve RokRAT Malware’i
Son dönemde, siber güvenlik araştırmacıları, Kuzey Kore ile bağlantılı bir hacker grubu olan ScarCruft (diğer adıyla APT37) tarafından yürütülen yeni bir phishing kampanyası keşfetti. Bu kampanya, Kuzey Kore’nin siber saldırılarını ve bunun altında yatan amaçları ortaya koyuyor. Araştırmalar, bu saldırıların özellikle Ulusal İstihbarat Araştırma Derneği ile ilişkili bireylere yönelik olduğunu gösteriyor. Hedefler arasında akademik figürler, eski hükümet yetkilileri ve araştırmacılar bulunuyor.
- Kuzey Kore’nin Yeni Phishing Saldırısı: ScarCruft ve RokRAT Malware’i
- Phishing Saldırısının Başlangıcı: Spear-Phishing E-postalar
- RokRAT Malware’i: Tehditlerin Yeni Yüzü
- Casusluk Faaliyetleri: Kim Yo Jong’un Açıklaması
- Kuzey Koreli Lazurus Grubu ve Yeni Tehditler
- ABD’nin Kuzey Kore Hedeflerine Yaptığı Yeni Yaptırımlar
Seqrite Labs, bu saldırıların “Operation HanKook Phantom” olarak adlandırıldığı bilgisini verdi. Saldırının amacı, hassas bilgilerin çalınması, kalıcı bir varlık sağlanması veya casusluk faaliyetleri gerçekleştirmenin olduğu düşünülüyor. Güvenlik araştırmacısı Dixit Panchal, saldırganların, bu phishing e-postaları aracılığıyla hedeflerinin verilerine ulaşmayı hedeflediğini rapor etti.
Phishing Saldırısının Başlangıcı: Spear-Phishing E-postalar
Saldırı zincirinin başlangıç noktası, “Ulusal İstihbarat Araştırma Derneği Bülteni – Sayı 52” başlıklı bir spear-phishing e-postasıdır. Bu e-posta, Güney Kore merkezli bir araştırma grubuna ait olan ve ulusal istihbarat, iş ilişkileri, güvenlik ve enerji konularına odaklanan bir derginin bültenine yönlendiren lür içeriyor. E-posta, zip dosyası eklenmiş bir dosya ile birlikte geliyor. Bu zip dosyası, açıldığında bir Windows kısayolu (LNK) olarak gözüküyor, fakat gerçekte bir PDF belgesi olarak konumlanıyor. Açıldığında, sahte bülteni gösterirken, hedef bilgilere RokRAT’ı yükleyerek zarar veriyor.
RokRAT Malware’i: Tehditlerin Yeni Yüzü
RokRAT, ScarCruft ile ilişkilendirilen bilinen bir malware’dir. Bu araç, sistem bilgilerini toplama, rastgele komutları yürütme, dosya sistemini listeleme, ekran görüntüleri alma ve ek yükler indirme gibi yeteneklere sahiptir. Toplanan veriler, Dropbox, Google Cloud, pCloud ve Yandex Cloud gibi platformlar üzerinden dışarıya aktarılıyor. Bununla birlikte, Seqrite, LNK dosyasının bir PowerShell betiği için bir taşıyıcı görevi gördüğü ikinci bir kampanyayı da tespit etti. Bu kampanyada, sahte bir Microsoft Word belgesi dışında bir şifreli Windows toplu işlem betiği çalıştırılıyor.
Casusluk Faaliyetleri: Kim Yo Jong’un Açıklaması
Saldırının bir başka yönü, Kim Yo Jong’un, Kore İşçi Partisi’nin Tanıtım ve Bilgi Departmanı’nın İkinci Başkan Yardımcısı olarak tarihli 28 Temmuz’da yayımlanan bir açıklamayı kullanarak, Seul’ün uzlaşma çabalarını reddettiği bir belgeyi kullanmasıdır. Panchal, bu kampanyanın analizinin, APT37’nin nasıl özelleştirilmiş spear-phishing saldırılarını sürdürdüğünü, zararlı LNK yükleyicileri, dosyasız PowerShell yürütmeleri ve gizli veri dışa aktarım mekanizmalarını kullandığını açıkladı.
Kuzey Koreli Lazurus Grubu ve Yeni Tehditler
Siber güvenlik şirketi QiAnXin, ünlü Lazarus Grubu (diğer adıyla QiAnXin) tarafından ClickFix tarzında yapılan saldırılara dair detaylar paylaştı. Bu saldırılar, iş arayanları bir video değerlendirmesi sırasında kamera veya mikrofon sorunlarını gidermek için sözde bir NVIDIA güncellemesi indirmeye yönlendirmek amacıyla gerçekleştiriliyor. ClickFix saldırısının sonucu, bir Visual Basic Script çalıştırarak BeaverTail adında bir JavaScript hırsızını devreye alıyor. Bu, aynı zamanda InvisibleFerret adı verilen bir Python tabanlı arka kapıyı da dahil ediyor.
ABD’nin Kuzey Kore Hedeflerine Yaptığı Yeni Yaptırımlar
Ayrıca, ABD Hazine Bakanlığı’nın Yabancı Varlıklar Kontrol Ofisi (OFAC), Kuzey Kore’nin uzaktan bilişim (IT) işçileri planı çerçevesinde iki birey ve iki varlık hakkında yeni yaptırımlar uyguladı. Bu yaptırımlar, Kuzey Kore’nin kitlesel imha silahları ve balistik füze programları için yasadışı gelir elde etme faaliyetlerini engellemeyi hedefliyor. Chollima Grubu, Moonstone Sleet ile bağlantılı bir IT işçi grubunu ve BABYLONGROUP olarak takip ettikleri bir araştırmayı detaylandırdı.
Bu bağlamda, DefiTankLand adında bir blockchain oyununa yönelik olarak, iddia edilen CTO’su Logan King’in aslında bir Kuzey Koreli IT işçisi olduğu öne sürülmektedir. Ayrıca, bu projeye ait bilgilerle ilgili ilginç bağlantılar da tespit edilmiştir.
Bu durum, Kuzey Kore’nin siber saldırılarını daha da geliştirdiğini ve uluslararası düzeyde tehdit oluşturduğunu göstermektedir. Siber güvenlik alanında alınacak önlemler ve bilgilerin korunması, gelecekte bu tür saldırıların önlenmesi açısından son derece önemlidir.
