Son Gelişmeler ve Tehdit Durumu
Kuzey Kore ile bağlantılı olan ve devlet destekli siber saldırılar gerçekleştiren ScarCruft grubu, bir video oyun platformunu hedef alarak tedarik zinciri casusluğu gerçekleştirmiştir. Saldırıda, bileşenler bir arka kapı olan BirdCall ile trojanlaştırılmıştır ve bu durum, özellikle Çin’de yaşayan etnik Korelilerin hedef alınması amacı taşımaktadır.
Saldırı Nasıl Çalışıyor?
Önceki sürümleri genellikle yalnızca Windows kullanıcılarını hedef alırken, bu tedarik zinciri saldırısı, tehdit aktörlerinin Android cihazlarını da hedef almasına olanak tanımaktadır. ESET’in raporuna göre, saldırı, Kuzey Kore ve Rusya sınırındaki Yanbian bölgesinde yaşayan etnik Koreliler tarafından kullanılan sqgame[.]net adlı bir oyun platformunu özel olarak hedef almıştır.
Oyun platformunun seçilmesi, ScarCruft’un Kuzey Koreli kaçakları, insan hakları aktivistlerini ve üniversite profesörlerini hedef alma geçmişinin bir stratejisi olarak değerlendirilmektedir.
Etkilenen Sistemler
Saldırının, 2024 sonlarından bu yana devam ettiği düşünülmektedir. ScarCruft, Yanbian temalı oyunlar sunan bir video oyunu platformunun Windows ve Android bileşenlerini hedef alarak arka kapıyı entegre etmiştir. BirdCall arka kapısı, aşağıdaki yeteneklere sahiptir:
- Ekran görüntüsü alma
- Tuş kaydetme
- Pano içerik çalma
- Shell komutları yürütme
- Veri toplama
Malware’nin Evrimi
BirdCall, RokRATın gelişmiş bir evrimi olarak Windows üzerinde tespit edilen sürümle birlikte, macOS (CloudMensis) ve Android için de uyarlanmış sürümleri bulunmaktadır. BirdCall, genellikle çok aşamalı bir yükleme zinciri ile yüklenir ve bilgisayara özgü anahtar kullanarak şifrelenmiş bileşenler içerir.
Potansiyel Tehditler ve Dağıtım Stratejisi
Android sürümü, sqgame[.]net tedarik zinciri saldırısı kapsamında dağıtılmakta olup, Windows karşıtının bir alt kümesini içermektedir. Bu sürüm, aşağıdaki unsurları toplamakta yetkilidir:
- İletişim listeleri
- SMS mesajları
- Arama kayıtları
- Medya dosyaları
- Belgeler
- Ekran görüntüleri
- Çevresel ses kayıtları
Poisoned APK’lerin yalnızca Android uygulamaları için dağıtıldığı, Windows masaüstü istemcisi ve iOS oyunlarının etkilenmediği belirtildi.
Çözüm ve Korunma
Saldırının ne zaman başladığı ve zehirli APK’lerin ne zaman dağıtılmaya başlandığı tam olarak bilinmemektedir, ancak 2024 sonlarında gerçekleştiği düşünülmektedir. Kullanıcıların, aşağıdaki adımları izlemeleri önemle tavsiye edilir:
- Tüm uygulama ve sistem güncellemelerini yapılması
- Güvenlik yazılımlarını güncel tutmak
- Şüpheli kaynaklardan indirmeleri önlemek
- Gereksiz portları kapatmak
Sonuç olarak, kullanıcıların kendi sistemlerini korumak adına tedbirli olmaları ve güvenlik önlemlerini artırmaları gerekmektedir.
