Giriş
Kuzey Koreli siber casusluk grubu APT37, yeni keşfedilen zararlı yazılımlar aracılığıyla internet bağlantılı ve fiziksel olarak yalıtılmış sistemler arasında veri transferi yapabilmektedir. “Ruby Jumper” adı verilen bu kampanya, kritik altyapı ve askeri alanlarda yüksek risk oluşturmakta.
Saldırı Nasıl Çalışıyor?
APT37’nin “Ruby Jumper” kampanyası, hedefe zararlı bir Windows kısayol dosyası (LNK) açıldığında başlar. Bu dosya, yerleşik yükleri çıkaran bir PowerShell betiği çalıştırır ve dikkati dağıtmak amacıyla sahte bir belge açar.
RESTLEAF adlı ilk zararlı bileşeni yükleyen PowerShell betiği, APT37’nin komut ve kontrol (C2) altyapısıyla iletişim kurar. RESTLEAF, C2’den şifrelenmiş shellcode alarak bir Ruby tabanlı yükleyici olan SNAKEDROPPER‘ı indirir. SNAKEDROPPER, gerçek bir USB yardımcı programı olarak gizlendiği ortamda, usbspeed.exe adıyla yüklenir.
Ayrıca, SNAKEDROPPER RubyGems’in varsayılan dosyasını operating_system.rb kötü niyetle değiştirilmiş bir versiyonla değiştirir ve bu, Ruby yorumlayıcısı her başlatıldığında otomatik olarak yüklenir. Bu süreç, her beş dakikada bir çalışan bir zamanlanmış görev olan rubyupdatecheck aracılığıyla gerçekleşir.
Daha sonra, THUMBSBD ve VIRUSTASK bileşenleri indirilir. THUMBSBD, sistem bilgilerini toplar ve hoş karşılanmayan dosyaları gizli dizinlere kopyalayarak veri çalma işlemini hazırlar.
- THUMBSBD, USB sürücülerde gizli dizinler oluşturur ve dosyaları kopyalar.
- VIRUSTASK, yeni ağdan kesilmiş makinelerde enfeksiyonu yaymak için kullanılmaktadır.
Zscaler araştırmacılarına göre, bu kötü amaçlı yazılım, çıkartıcı medya cihazlarını “iki yönlü gizli C2 iletimi” olarak kullanarak sızma ve veri toplama işlevi görmektedir.
Etkilenen Sistemler
Çalışmalar, saldırının özellikle aşağıdaki platformlara odaklandığını ortaya koymaktadır:
- Kritik altyapı sistemleri
- Askeri personel ve tesisler
- Araştırma kurumları
Bu sistemler genellikle internetten izole edilmiş olup, veri aktarımı için yalnızca taşınabilir depolama aygıtları kullanılmaktadır.
Çözüm ve Korunma
Zscaler araştırmaları, APT37’nin RubyJumper kampanyasına yüksek güvenle atıfta bulunmaktadır; çünkü saldırı sırasında kullanılan metodolojiler ve altyapı büyük oranda tanınmıştır. Aşağıdaki önlemlerle kendinizi koruyabilirsiniz:
- Yazılım güncellemeleri: Sistemlerinizi ve yazılımlarınızı en son versiyonlarıyla güncel tutun.
- Taşınabilir medya yönetimi: Taşınabilir disklerin kullanımını sınırlayın ve güvenilir kaynaklardan edinildiğinden emin olun.
- Port kapatma: Kullanılmayan portları kapatın ve fiziksel erişimi kontrol edin.
Sonuç olarak, bu tür tehditlere karşı proaktif olmak, veri güvenliğinizi sağlamak ve olası zararları en aza indirmek için şarttır. Unutmayın ki açıklar ve güncel olmayan sistemler, siber saldırganlar için kapılar açma riskini arttırmaktadır.
