Kaspersky’den yapฤฑlan aรงฤฑklamaya gรถre, ScarCruft grubu รงoฤunlukla Kore Yarฤฑmadasฤฑ, Kuzey Kore’den kaรงanlar ve yerel gazetecilerle ilgili hรผkรผmet organizasyonlarฤฑnฤฑ gรถzetlediฤi bilinen, ulus-devlet destekli bir APT aktรถrรผ olarak รถne รงฤฑkฤฑyor. Yakฤฑn zamanda yerel bir haber servisi, siber gรผvenlik araลtฤฑrmalarฤฑ sฤฑrasฤฑnda teknik yardฤฑm talebiyle Kaspersky’e baลvurdu.
Kaspersky araลtฤฑrmacฤฑlarฤฑ, ScarCruft tarafฤฑndan ele geรงirilen bir bilgisayar รผzerinde daha derin bir araลtฤฑrma yapma fฤฑrsatฤฑ buldu. Kaspersky uzmanlarฤฑ, saldฤฑrganฤฑn komuta ve kontrol altyapฤฑsฤฑnฤฑ araลtฤฑrmak iรงin yerel CERT ile yakฤฑn iล birliฤi iรงinde รงalฤฑลtฤฑ. Analiz sฤฑrasฤฑnda Kaspersky, sรถz konusu tehdit aktรถrรผ tarafฤฑndan Kuzey Kore ile baฤlantฤฑlฤฑ kullanฤฑcฤฑlara odaklanan ayrฤฑntฤฑlฤฑ bir hedefli kampanya ortaya รงฤฑkardฤฑ.
Soruลturma sonucunda Kaspersky uzmanlarฤฑ, “Chinotto” adlฤฑ kรถtรผ amaรงlฤฑ bir Windows yรผrรผtรผlebilir dosyasฤฑ keลfetti. Bu kรถtรผ amaรงlฤฑ yazฤฑlฤฑmฤฑn 3 sรผrรผmรผ (PowerShell, yรผrรผtรผlebilir Windows uygulamasฤฑ ve Android uygulamasฤฑ) bulunuyor. Her 3 sรผrรผm de HTTP iletiลimine dayalฤฑ benzer bir komut ve kontrol ลemasฤฑnฤฑ paylaลฤฑyor. Bu, kรถtรผ amaรงlฤฑ yazฤฑlฤฑm operatรถrlerinin tรผm kรถtรผ amaรงlฤฑ yazฤฑlฤฑm ailesini bir dizi komut ve kontrol komut dosyasฤฑ aracฤฑlฤฑฤฤฑyla kontrol edebileceฤi anlamฤฑna geliyor.
Operatรถr, kรถtรผ amaรงlฤฑ yazฤฑlฤฑmฤฑ kurbanฤฑn bilgisayarฤฑna ve telefonuna aynฤฑ anda bulaลtฤฑrdฤฑฤฤฑnda telefondan SMS mesajlarฤฑnฤฑ รงalarak mesajlaลma programlarฤฑ veya e-postalardaki iki faktรถrlรผ kimlik doฤrulamanฤฑn รผstesinden gelebiliyor. Sonrasฤฑnda operatรถr ilgilendiฤi herhangi bir bilgiyi รงalabiliyor ve kurbanฤฑn tanฤฑdฤฑklarฤฑna veya iล ortaklarฤฑna yรถnelik saldฤฑrฤฑlarฤฑna devam edebiliyor.
Bu kรถtรผ amaรงlฤฑ yazฤฑlฤฑmฤฑn รถzelliklerinden biri, analizi engellemeye yรถnelik bir yฤฑฤฤฑn gereksiz kod iรงermesi. Bunlar arabelleฤi kasten anlamsฤฑz verilerle dolduran ve asla kullanmayan kรถtรผ amaรงlฤฑ yazฤฑlฤฑmlardan oluลuyor.
Ayrฤฑca, incelenen bilgisayarda PowerShell kรถtรผ amaรงlฤฑ yazฤฑlฤฑmฤฑna rastlandฤฑ ve Kaspersky araลtฤฑrmacฤฑlarฤฑ, saldฤฑrganฤฑn kurbanฤฑn verilerini รงaldฤฑฤฤฑna ve aylarca eylemlerini izlediฤine dair kanฤฑtlar buldu. Uzmanlar, ne kadar sรผreyle ve hangi verilerin รงalฤฑndฤฑฤฤฑnฤฑ tam olarak bilemese de kรถtรผ amaรงlฤฑ yazฤฑlฤฑm operatรถrรผnรผn 2021 yฤฑlฤฑnฤฑn temmuz ve aฤustos aylarฤฑ arasฤฑnda ekran gรถrรผntรผleri topladฤฑฤฤฑnฤฑ ve bunlarฤฑ sฤฑzdฤฑrdฤฑฤฤฑnฤฑ biliyor.
Baลlangฤฑรงta saldฤฑrgan, kurbanฤฑn รงalฤฑnan Facebook hesabฤฑnฤฑ kurbanฤฑn Kuzey Kore ile ilgili bir iลini yรผrรผten tanฤฑdฤฑฤฤฑyla iletiลim kurmak iรงin kullandฤฑ. Bunu takiben, faaliyetleri hakkฤฑnda bilgi toplamak iรงin baฤlantฤฑyฤฑ kullanmaya devam etti ve daha sonra “Kuzey Kore’nin son durumu ve ulusal gรผvenliฤimiz” adlฤฑ kรถtรผ niyetli bir Word belgesi iรงeren bir oltalama e-postasฤฑyla hedefe saldฤฑrdฤฑ.
Bu belge, kรถtรผ amaรงlฤฑ bir makro ve รงok aลamalฤฑ bir bulaลma sรผreci iรงin bir yรผk iรงeriyordu. ฤฐlk aลama makrosu, kurbanฤฑn makinesinde bir Kaspersky gรผvenlik รงรถzรผmรผnรผn olup olmadฤฑฤฤฑnฤฑ kontrol ediyor. Sistemde yรผklรผyse makro, Visual Basic Uygulamasฤฑ (VBA) iรงin gรผven eriลimi saฤlฤฑyor. Bunu yaparak, Microsoft Office tรผm makrolara gรผveniyor ve herhangi bir kodu, bir gรผvenlik uyarฤฑsฤฑ gรถstermeden veya kullanฤฑcฤฑnฤฑn iznini gerektirmeden programฤฑ รงalฤฑลtฤฑrฤฑyor. Kaspersky gรผvenlik yazฤฑlฤฑmฤฑnฤฑn kurulu olmamasฤฑ durumunda makro doฤrudan sonraki aลamanฤฑn yรผkรผnรผn ลifresini รงรถzmeye devam eder. Bu ilk enfeksiyondan sonra saldฤฑrganlar Chinotto kรถtรผ amaรงlฤฑ yazฤฑlฤฑmฤฑnฤฑ teslim etti ve ardฤฑndan hassas bilgileri kontrol edip kurbanlardan sฤฑzdฤฑrabildi.
Analiz sฤฑrasฤฑnda Kaspersky uzmanlarฤฑ, tรผmรผ Gรผney Kore’de bulunan diฤer 4 kurbanฤฑ ve 2021’in baลฤฑndan beri kullanฤฑmda olan gรผvenliฤi ihlal edilmiล web sunucularฤฑnฤฑ da belirledi. Araลtฤฑrmaya gรถre, tehdidin hedefini belirli ลirketler veya kuruluลlardan ziyade bireyler oluลturuyor.
“Araลtฤฑrma, gรผvenlik uzmanlarฤฑnฤฑn bilgi paylaลฤฑmฤฑnฤฑn ve yeni gรผvenlik tรผrlerine yatฤฑrฤฑm yapmasฤฑnฤฑn รถnemini gรถsteriyor”
Aรงฤฑklamada gรถrรผลlerine yer verilen Kaspersky Kรผresel Araลtฤฑrma ve Analiz Ekibi (GReAT) Baล Gรผvenlik Araลtฤฑrmacฤฑsฤฑ Seongsu Park, “Birรงok gazeteci, sฤฑฤฤฑnmacฤฑ ve insan haklarฤฑ aktivisti, karmaลฤฑk siber saldฤฑrฤฑlarฤฑn hedefinde. Ancak genellikle bu tรผr izleme saldฤฑrฤฑlarฤฑna karลฤฑ savunma ve bunlara verme araรงlarฤฑndan yoksunlar. Bu araลtฤฑrma, gรผvenlik uzmanlarฤฑnฤฑn bilgi paylaลฤฑmฤฑnฤฑn ve yeni gรผvenlik tรผrlerine yatฤฑrฤฑm yapmasฤฑnฤฑn รถnemini gรถsteriyor. Ayrฤฑca, yerel CERT ile olan iล birliฤimiz, ScarCruft’un altyapฤฑsฤฑ ve teknik รถzellikleri hakkฤฑnda bize benzersiz bir bakฤฑล aรงฤฑsฤฑ saฤladฤฑ. Bunun saldฤฑrฤฑlara karลฤฑ gรผvenliฤimizi artฤฑracaฤฤฑnฤฑ umuyorum.” ifadelerini kullandฤฑ.
Kaspersky, bu tรผr tehditlerden korumak iรงin kullanฤฑcฤฑlara ลunlarฤฑ รถneriyor:
“Uygulama ve programlarฤฑnฤฑzฤฑ gรผvenilir web sitelerinden indirin. ฤฐลletim sisteminizi ve tรผm yazฤฑlฤฑmlarฤฑnฤฑzฤฑ dรผzenli olarak gรผncelleyin. Birรงok gรผvenlik sorunu, yazฤฑlฤฑmฤฑn gรผncellenmiล sรผrรผmleri yรผklenerek รงรถzรผlebilir. e-posta eklerinden daima ลรผphelenin. Bir eki aรงmak veya bir baฤlantฤฑyฤฑ takip etmek iรงin tฤฑklamadan รถnce dikkatlice dรผลรผnรผn; tanฤฑdฤฑฤฤฑnฤฑz ve gรผvendiฤiniz birinden mi geliyor, bekliyor muydunuz, temiz mi? Adlarฤฑnฤฑn ne olduฤunu veya gerรงekte nereye gittiklerini gรถrmek iรงin baฤlantฤฑlarฤฑn ve eklerin รผzerine gelin. Tรผm bilgisayarlarฤฑnฤฑza ve mobil cihazlarฤฑnฤฑza Kaspersky Internet Security for Android veya Kaspersky Total Security gibi gรผรงlรผ bir gรผvenlik รงรถzรผmรผ kullanฤฑn.”
Kaspersky’nin kuruluลlarฤฑ korumak iรงin รถnerileri de ลรถyle:
“Kurumsal olmayan yazฤฑlฤฑm kullanฤฑmฤฑ iรงin bir ilke ayarlayฤฑn. Gรผvenilmeyen kaynaklardan yetkisiz uygulamalarฤฑ indirmenin riskleri konusunda รงalฤฑลanlarฤฑnฤฑzฤฑ eฤitin. Birรงok hedefli saldฤฑrฤฑ kimlik avฤฑ veya diฤer sosyal mรผhendislik teknikleriyle baลladฤฑฤฤฑndan personelinize temel siber gรผvenlik hijyeni eฤitimi verin. Anti-APT ve EDR รงรถzรผmlerini kurun. Tehdit keลfine ve tespitine, soruลturmaya ve olaylarฤฑn zamanฤฑnda dรผzeltilmesine olanak saฤlayฤฑn. SOC ekibinize en son tehdit istihbaratฤฑna eriลim saฤlayฤฑn ve profesyonel eฤitimlerle dรผzenli olarak becerilerini yรผkseltin. Bunlarฤฑn tรผmรผ Kaspersky Expert Security รงerรงevesinde mevcuttur. Uygun uรง nokta korumasฤฑnฤฑn yanฤฑ sฤฑra รถzel hizmetler, yรผksek profilli saldฤฑrฤฑlara karลฤฑ yardฤฑmcฤฑ olabilir. Kaspersky Managed Detection and Response hizmeti, saldฤฑrganlar hedeflerine ulaลmadan รถnce saldฤฑrฤฑlarฤฑ erken aลamalarฤฑnda belirlemeye ve durdurmaya yardฤฑmcฤฑ olabilir.”







