Giriş
Kuzey Kore menşeli bir tehdit aktörü olan ScarCruft, yeni bir kampanya başlatarak çeşitli kötü amaçlı yazılım araçları tanıttı. Bu kampanya, hem hedef sistemlerin izlenmesine olanak sağlamakta hem de hava boşluğuna sahip (air-gapped) ağların ihlal edilmesini kolaylaştırmaktadır.
Saldırı Nasıl Çalışıyor?
Kampanya, Zscaler ThreatLabz tarafından Ruby Jumper kod adıyla adlandırılmıştır ve şu kötü amaçlı yazılım ailelerini içermektedir:
- RESTLEAF
- SNAKEDROPPER
- THUMBSBD
- VIRUSTASK
- FOOTWINE
- BLUELIGHT
Seongsu Park, saldırının detaylarıyla ilgili olarak şunları belirtmiştir: “Kurban, zararlı bir LNK dosyasını açtığında, bu dosya PowerShell komutunu başlatarak geçerli dizinde kendisini dosya boyutuna göre bulur.” Bu işlem sonrasında, LNK dosyası aracılığıyla başlatılan PowerShell scripti, yalan dükkan (decoy) belgesi, bir yürütülebilir yük, ek bir PowerShell scripti ve bir batch dosyası gibi çoklu gömülü yükleri çıkarır.
Etkilenen Sistemler
ScarCruft, kampanya boyunca hem internete bağlı hem de hava boşluğuna sahip sistemleri hedeflemektedir. Kullanılan teknikler arasında:
- RESTLEAF: Zoho WorkDrive kullanarak komut ve kontrol iletişimi kurar.
- THUMBSBD: Taşınabilir medya kullanarak komut geçişi yapar ve sistem bilgilerini toplar.
- FOOTWINE: Anahtarlama, ses ve video kaydı yaparak gözetim yapar.
THUMBSBD, yürütülebilir Ruby dosyası olarak hareket eder ve ayrıca BLUELIGHT arka kapısını dağıtır. Bu arka kapı, Google Drive, Microsoft OneDrive gibi bulut servislerini kullanarak çalışır.
Çözüm ve Korunma
Aşağıda belirtilen adımları izleyerek bu tehditlere karşı korunabilirsiniz:
- Güvenlik yazılımlarınızı güncelleyin.
- Yetkisiz dosya indirmelerini ve bağlantılarını engelleyin.
- Taşınabilir medya cihazlarını dikkatli kullanın ve şüpheli dosyaları açmayın.
- Şüpheli faaliyetleri izlemek için ağınızı denetleyin.
Ayrıca, işletim sisteminizdeki ve uygulamalarınızdaki güncellemeleri düzenli olarak kontrol edin. Uzaktan erişim izinlerinizi gözden geçirin ve ağınıza ulaşan tüm trafiği izleyin.
Sonuç
Günümüz siber tehditleri, sürekli evrim geçirmekte ve beklenmedik yöntemler kullanarak sistemlere erişmektedir. Bunun için, kullanıcıların güncellemeleri takip etmesi, ağ güvenliğini artırması ve taşınabilir medya kullanımını dikkatli bir şekilde değerlendirmesi kritik öneme sahiptir.
