Yakın vakitte yapılan bir çalışmada Kaspersky araştırmacıları, Kuzey Koreli sığınmacıları ve insan hakları aktivistlerini maksat alan, Chinotto isimli önce bilinmeyen makûs emelli bir yazılımı ortaya çıkardı. Gelişmiş Kalıcı Tehdit (APT) aktörü ScarCruft tarafınca işletilen makus gayeli yazılım, PowerShell, Windows yürütülebilir evrakları ve Android uygulamalarıyla yayılıyor. Araç hassas ayrıntıları gayelerinden toplama ve sızdırma yeteneğine sahip. Ayrıyeten saldırganlar kurbanın güvenliği ihlal edilmiş toplumsal ağlarını ve e-postasını kullanarak kişinin temaslarına da bulaşmaya çalışıyor.
ScarCruft kümesi sıklıkla Kore Yarımadası, Kuzey Kore’den kaçanlar ve lokal gazetecilerle ilgili hükümet tertiplerini gözetlediği bilinen, ulus-devlet takviyeli bir APT aktörü. Yakın vakitte lokal bir haber servisi, siber güvenlik araştırmaları sırasında teknik yardım talebiyle Kaspersky’e başvurdu. bu biçimdece Kaspersky araştırmacıları, ScarCruft tarafınca ele geçirilen bir bilgisayar üzerinde daha derin bir araştırma yapma fırsatı buldu. Kaspersky uzmanları, saldırganın komuta ve denetim altyapısını araştırmak için lokal CERT ile yakın iş birliği ortasında çalıştı. Tahlil sırasında Kaspersky, kelam konusu tehdit aktörü tarafınca Kuzey Kore ile temaslı kullanıcılara odaklanan detaylı bir amaçlı kampanya ortaya çıkardı.
Soruşturma kararında Kaspersky uzmanları, Chinotto isimli makûs hedefli bir Windows yürütülebilir belgesi keşfetti. Bu makûs maksatlı yazılımın üç sürümü mevcut: PowerShell, yürütülebilir Windows uygulaması ve Android uygulaması. Her üç sürüm de HTTP bağlantısına dayalı emsal bir komut ve denetim şemasını paylaşıyor. Bu, berbat hedefli yazılım operatörlerinin tüm makûs gayeli yazılım ailesini bir dizi komut ve denetim komut evrakı aracılığıyla denetim edebileceği manasına geliyor.
Operatör makûs hedefli yazılımı kurbanın bilgisayarına ve telefonuna tıpkı anda bulaştırdığında, telefondan SMS bildirilerini çalarak iletileşme programları yahut e-postalardaki iki faktörlü kimlik doğrulamanın üstesinden gelebiliyor. daha sonrasında operatör ilgilendiği rastgele bir bilgiyi çalabiliyor ve kurbanın tanıdıklarına yahut iş ortaklarına yönelik akınlarına devam edebiliyor.
Bu makus maksatlı yazılımın özelliklerinden biri, tahlili engellemeye yönelik bir yığın gereksiz kod içermesi. Bunlar arabelleği taammüden anlamsız datalarla dolduran ve asla kullanmayan makus maksatlı yazılımlardan oluşuyor.
Ayrıyeten incelenen bilgisayarda PowerShell makus hedefli yazılımına rastlandı ve Kaspersky araştırmacıları, saldırganın kurbanın datalarını çaldığına ve aylarca aksiyonlarını izlediğine dair deliller buldu. Uzmanlar ne kadar müddetle ve hangi bilgilerin çalındığını tam olarak bilemese de makus maksatlı yazılım operatörünün 2021 yılının Temmuz ve Ağustos ayları içinde ekran imajları topladığını ve bunları sızdırdığını biliyorlar.
Başlangıçta saldırgan, kurbanın çalınan Facebook hesabını kurbanın Kuzey Kore ile ilgili bir işini yürüten tanıdığıyla bağlantı kurmak için kullandı. Bunu takiben, faaliyetleri hakkında bilgi toplamak için ilişkiyi kullanmaya devam etti ve daha akabinde “Kuzey Kore’nin son durumu ve ulusal güvenliğimiz” isimli makus niyetli bir Word dokümanı içeren bir oltalama e-postasıyla maksada saldırdı.
Bu evrak, berbat hedefli bir makro ve hayli basamaklı bir bulaşma süreci için bir yük içeriyordu. Birinci basamak makrosu, kurbanın makinesinde bir Kaspersky güvenlik tahlilinin olup olmadığını denetim eder. Sistemde yüklüyse, makro, Visual Basic Uygulaması (VBA) için inanç erişimi sağlar. Bunu yaparak, Microsoft Office tüm makrolara güvenecek ve rastgele bir kodu bir güvenlik uyarısı göstermeden yahut kullanıcının müsaadesini gerektirmeden çalıştıracaktır. Kaspersky güvenlik yazılımının şurası olmaması durumunda, makro direkt daha sonraki kademenin yükünün şifresini çözmeye devam eder. sonrasındasında, bu birinci enfeksiydaha sonrasında, saldırganlar Chinotto berbat hedefli yazılımını teslim etti ve akabinde hassas ayrıntıları denetim edip kurbanlardan sızdırabildi.
Tahlil sırasında Kaspersky uzmanları, tümü Güney Kore’de bulunan öteki dört kurbanı ve 2021’in başından beri kullanımda olan güvenliği ihlal edilmiş web sunucularını da belirledi. Araştırmaya göre tehdidin maksadını muhakkak şirketler yahut kuruluşlardan çok bireyler oluşturuyor.
Kaspersky Global Araştırma ve Tahlil Takımı (GReAT) Baş Güvenlik Araştırmacısı Seongsu Park, şunları söylüyor: “Birfazlaca gazeteci, sığınmacı ve insan hakları aktivisti, karmaşık siber hücumların amacında. Lakin, ekseriyetle bu tıp izleme hücumlarına karşı savunma ve bunlara verme araçlarından mahrumlar. Bu araştırma, güvenlik uzmanlarının bilgi paylaşımının ve yeni güvenlik çeşitlerine yatırım yapmasının ehemmiyetini gösteriyor. Ayrıyeten lokal CERT ile olan iş birliğimiz, ScarCruft’un altyapısı ve teknik özellikleri hakkında bize eşsiz bir bakış açısı sağladı. Bunun ataklara karşı güvenliğimizi artıracağını umuyorum.”
Bu cins tehditlerden korumak için Kaspersky kullanıcılara şunları öneriyor:
ScarCruft kümesi sıklıkla Kore Yarımadası, Kuzey Kore’den kaçanlar ve lokal gazetecilerle ilgili hükümet tertiplerini gözetlediği bilinen, ulus-devlet takviyeli bir APT aktörü. Yakın vakitte lokal bir haber servisi, siber güvenlik araştırmaları sırasında teknik yardım talebiyle Kaspersky’e başvurdu. bu biçimdece Kaspersky araştırmacıları, ScarCruft tarafınca ele geçirilen bir bilgisayar üzerinde daha derin bir araştırma yapma fırsatı buldu. Kaspersky uzmanları, saldırganın komuta ve denetim altyapısını araştırmak için lokal CERT ile yakın iş birliği ortasında çalıştı. Tahlil sırasında Kaspersky, kelam konusu tehdit aktörü tarafınca Kuzey Kore ile temaslı kullanıcılara odaklanan detaylı bir amaçlı kampanya ortaya çıkardı.
Soruşturma kararında Kaspersky uzmanları, Chinotto isimli makûs hedefli bir Windows yürütülebilir belgesi keşfetti. Bu makûs maksatlı yazılımın üç sürümü mevcut: PowerShell, yürütülebilir Windows uygulaması ve Android uygulaması. Her üç sürüm de HTTP bağlantısına dayalı emsal bir komut ve denetim şemasını paylaşıyor. Bu, berbat hedefli yazılım operatörlerinin tüm makûs gayeli yazılım ailesini bir dizi komut ve denetim komut evrakı aracılığıyla denetim edebileceği manasına geliyor.
Operatör makûs hedefli yazılımı kurbanın bilgisayarına ve telefonuna tıpkı anda bulaştırdığında, telefondan SMS bildirilerini çalarak iletileşme programları yahut e-postalardaki iki faktörlü kimlik doğrulamanın üstesinden gelebiliyor. daha sonrasında operatör ilgilendiği rastgele bir bilgiyi çalabiliyor ve kurbanın tanıdıklarına yahut iş ortaklarına yönelik akınlarına devam edebiliyor.
Bu makus maksatlı yazılımın özelliklerinden biri, tahlili engellemeye yönelik bir yığın gereksiz kod içermesi. Bunlar arabelleği taammüden anlamsız datalarla dolduran ve asla kullanmayan makus maksatlı yazılımlardan oluşuyor.
Ayrıyeten incelenen bilgisayarda PowerShell makus hedefli yazılımına rastlandı ve Kaspersky araştırmacıları, saldırganın kurbanın datalarını çaldığına ve aylarca aksiyonlarını izlediğine dair deliller buldu. Uzmanlar ne kadar müddetle ve hangi bilgilerin çalındığını tam olarak bilemese de makus maksatlı yazılım operatörünün 2021 yılının Temmuz ve Ağustos ayları içinde ekran imajları topladığını ve bunları sızdırdığını biliyorlar.
Başlangıçta saldırgan, kurbanın çalınan Facebook hesabını kurbanın Kuzey Kore ile ilgili bir işini yürüten tanıdığıyla bağlantı kurmak için kullandı. Bunu takiben, faaliyetleri hakkında bilgi toplamak için ilişkiyi kullanmaya devam etti ve daha akabinde “Kuzey Kore’nin son durumu ve ulusal güvenliğimiz” isimli makus niyetli bir Word dokümanı içeren bir oltalama e-postasıyla maksada saldırdı.
Bu evrak, berbat hedefli bir makro ve hayli basamaklı bir bulaşma süreci için bir yük içeriyordu. Birinci basamak makrosu, kurbanın makinesinde bir Kaspersky güvenlik tahlilinin olup olmadığını denetim eder. Sistemde yüklüyse, makro, Visual Basic Uygulaması (VBA) için inanç erişimi sağlar. Bunu yaparak, Microsoft Office tüm makrolara güvenecek ve rastgele bir kodu bir güvenlik uyarısı göstermeden yahut kullanıcının müsaadesini gerektirmeden çalıştıracaktır. Kaspersky güvenlik yazılımının şurası olmaması durumunda, makro direkt daha sonraki kademenin yükünün şifresini çözmeye devam eder. sonrasındasında, bu birinci enfeksiydaha sonrasında, saldırganlar Chinotto berbat hedefli yazılımını teslim etti ve akabinde hassas ayrıntıları denetim edip kurbanlardan sızdırabildi.
Tahlil sırasında Kaspersky uzmanları, tümü Güney Kore’de bulunan öteki dört kurbanı ve 2021’in başından beri kullanımda olan güvenliği ihlal edilmiş web sunucularını da belirledi. Araştırmaya göre tehdidin maksadını muhakkak şirketler yahut kuruluşlardan çok bireyler oluşturuyor.
Kaspersky Global Araştırma ve Tahlil Takımı (GReAT) Baş Güvenlik Araştırmacısı Seongsu Park, şunları söylüyor: “Birfazlaca gazeteci, sığınmacı ve insan hakları aktivisti, karmaşık siber hücumların amacında. Lakin, ekseriyetle bu tıp izleme hücumlarına karşı savunma ve bunlara verme araçlarından mahrumlar. Bu araştırma, güvenlik uzmanlarının bilgi paylaşımının ve yeni güvenlik çeşitlerine yatırım yapmasının ehemmiyetini gösteriyor. Ayrıyeten lokal CERT ile olan iş birliğimiz, ScarCruft’un altyapısı ve teknik özellikleri hakkında bize eşsiz bir bakış açısı sağladı. Bunun ataklara karşı güvenliğimizi artıracağını umuyorum.”
Bu cins tehditlerden korumak için Kaspersky kullanıcılara şunları öneriyor:
- Uygulama ve programlarınızı emniyetli web sitelerinden indirin.
- İşletim sisteminizi ve tüm yazılımlarınızı sistemli olarak güncelleyin. Birfazlaca güvenlik sorunu, yazılımın güncellenmiş sürümleri yüklenerek çözülebilir.
- E-posta eklerinden sürekli şüphelenin. Bir eki açmak yahut bir ilişkiyi takip etmek için tıklamadan evvel dikkatlice düşünün: Tanıdığınız ve güvendiğiniz birinden mi geliyor? Bekliyor muydunuz? Pak mi? İsimlerinin ne olduğunu yahut gerçekte nereye gittiklerini görmek için kontakların ve eklerin üzerine gelin.
- Tüm bilgisayarlarınıza ve taşınabilir cihazlarınıza, Kaspersky Internet Security for Android yahut Kaspersky Total Security üzere kuvvetli bir güvenlik tahlili kullanın.
- Kurumsal olmayan yazılım kullanması için bir unsur ayarlayın. Güvenilmeyen kaynaklardan yetkisiz uygulamaları indirmenin riskleri konusunda çalışanlarınızı eğitin.
- Biroldukca amaçlı akın kimlik avı yahut öteki toplumsal mühendislik teknikleriyle başladığından, işçinize temel siber güvenlik hijyeni eğitimi verin.
- Anti-APT ve EDR tahlillerini kurun. Tehdit keşfine ve tespitine, soruşturmaya ve olayların vaktinde düzeltilmesine imkan sağlayın. SOC grubunuza en son tehdit istihbaratına erişim sağlayın ve profesyonel eğitimlerle nizamlı olarak hünerlerini yükseltin. Üsttekilerin tümü Kaspersky Expert Security çerçevesinde mevcuttur.
- Uygun uç nokta muhafazasının yanı sıra özel hizmetler, yüksek profilli akınlara karşı yardımcı olabilir. Kaspersky Managed Detection and Response hizmeti, saldırganlar gayelerine ulaşmadan evvel hücumları erken evrelerinde belirlemeye ve durdurmaya yardımcı olabilir.