Giriş
Kuzey Koreli APT37 (diğer adıyla ScarCruft) grubunun yeni bir çok aşamalı sosyal mühendislik saldırısı, hedeflerine Facebook üzerinden yaklaşarak güven inşa etme sürecini kullanmasıyla dikkat çekiyor. Bu kampanya, uzaktan erişim trojanı RokRAT’in dağıtım aracı olarak sosyal medya platformunu kullanması açısından önem taşıyor.
Saldırı Nasıl Çalışıyor?
Genians Güvenlik Merkezi (GSC), tehdit aktörlerinin iki tane Facebook hesabı oluşturduğunu ve bu hesapların konumlarının Pyongyang ve Pyongsong, Kuzey Kore olarak ayarlandığını belirtiyor. Kullanıcılar, arkadaşlık taleplerinin ardından Messenger üzerinden gerçekleştirilen sahte sohbetlerle hedefleniyor, bu süreçte kullanıcıların belirli konular üzerinden yönlendirilmesi sağlanıyor.
Saldırının merkezinde, kullanıcıların bir PDF görüntüleyici yüklemeye ikna edilmesi bulunuyor. GSC’nin tanımladığı bu “pretexting” taktiği, yazılımın askeri belgeleri açmak için gerekli olduğu iddiasını öne sürüyor. Enfeksiyon zincirinde kullanılan PDF görüntüleyici, Wondershare PDFelement’in değiştirilmiş bir versiyonu ve yüklendiğinde saldırganlara ilk erişim sağlamak için yerleşik shellcode’un çalıştırılmasını sağlıyor.
Etkilenen Sistemler
Saldırılar, geçerli ancak tehlikeye atılmış komut ve kontrol (C2) altyapısı kullanarak gerçekleştirilmekte. GSC’nin verdiği bilgiye göre, Japonya’nın Seul merkezli bir gayrimenkul bilgi hizmetine ait web sitesi, kötü amaçlı komutlar ve yükler için silah olarak kullanılıyor. Ayrıca, RokRAT’ı iletmek için görünüşte zararsız bir JPG dosyası kullanılıyor.
GSC, “Bu durumu, geçerli yazılım değiştirme, meşru bir web sitesinin kötüye kullanılması ve dosya uzantılarını gizleme” gibi son derece kaçınan bir strateji olarak değerlendiriyor.
Çözüm ve Korunma
Saldırı dizisi sırasında, APT37 grubunun oluşturduğu Facebook hesapları “richardmichael0828” ve “johnsonsophia0414” üzerine yapılan araştırmalarda, bu hesaplar 10 Kasım 2025 tarihine kadar oluşturulmuş. Sosyal mühendislik süreci Telegram’a taşındığında, trojanize edilmiş Wondershare PDFelement ile birlikte ZIP dosyaları ve PDF belgeleri içeren bir arşiv gönderiliyor.
Yüklenmiş olan değiştirilmiş kurulum dosyası, C2 sunucusu “japanroom[.]com” ile iletişim kurarak ikinci aşama yükü olan bir JPG dosyasını (“1288247428101.jpg”) indiriyor. Bu süreçte, kötü amaçlı yazılım Zoho WorkDrive’ı C2 olarak kullanmakta ve bu teknik, güvenlik yazılımları tarafından tespit edilmeden ekran görüntüleri almak, uzaktan komut yürütme, sistem bilgilerini toplamak ve sistem keşfi yapmakta kullanılmakta.
Sonuç
Okuyucuların, hemen sistemlerini güncellemeleri, özellikle Wondershare PDFelement kullanıyorsa dikkatli olmaları ve bilinmeyen kaynaklardan gelen dosyaları açmamaları önerilir. Aksi takdirde, bu tür sosyal mühendislik taktiklerine maruz kalma riski artmaktadır. Ayrıca, şüpheli faaliyetler tespit edildiğinde port kapanışı gibi önlemler alınmalıdır.
