ScarCruft grubu çoğunlukla Kore Yarımadası, Kuzey Kore’den kaçanlar ve yerel gazetecilerle ilgili hükümet organizasyonlarını gözetlediği bilinen, ulus-devlet destekli bir APT aktörü. Yakın zamanda yerel bir haber servisi, siber güvenlik araştırmaları sırasında teknik yardım talebiyle Kaspersky'e başvurdu. ScarCruft tarafından ele geçirilen bir bilgisayar üzerinde yapılan derinlemesine araştırma sonucunda Kaspersky uzmanları, Chinotto adlı kötü amaçlı bir Windows yürütülebilir dosyası keşfetti. Bu kötü amaçlı yazılımın üç sürümü mevcut: PowerShell, yürütülebilir Windows uygulaması ve Android uygulaması. Her üç sürüm de HTTP iletişimine dayalı benzer bir komut ve kontrol şemasını paylaşıyor. Bu, kötü amaçlı yazılım operatörlerinin tüm kötü amaçlı yazılım ailesini bir dizi komut ve kontrol komut dosyası aracılığıyla kontrol edebileceği anlamına geliyor.

Operatör kötü amaçlı yazılımı kurbanın bilgisayarına ve telefonuna aynı anda bulaştırdığında, telefondan SMS mesajlarını çalarak mesajlaşma programları veya e-postalardaki iki faktörlü kimlik doğrulamanın üstesinden gelebiliyor. Sonrasında operatör ilgilendiği herhangi bir bilgiyi çalabiliyor ve kurbanın tanıdıklarına veya iş ortaklarına yönelik saldırılarına devam edebiliyor.

Bu kötü amaçlı yazılımın özelliklerinden biri, analizi engellemeye yönelik bir yığın gereksiz kod içermesi. Bunlar arabelleği kasten anlamsız verilerle dolduran ve asla kullanmayan kötü amaçlı yazılımlardan oluşuyor.

Ayrıca incelenen bilgisayarda PowerShell kötü amaçlı yazılımına rastlandı ve Kaspersky araştırmacıları, saldırganın kurbanın verilerini çaldığına ve aylarca eylemlerini izlediğine dair kanıtlar buldu. Uzmanlar ne kadar süreyle ve hangi verilerin çalındığını tam olarak bilemese de kötü amaçlı yazılım operatörünün 2021 yılının Temmuz ve Ağustos ayları arasında ekran görüntüleri topladığını ve bunları sızdırdığını biliyorlar.

Başlangıçta saldırgan, kurbanın çalınan Facebook hesabını kurbanın Kuzey Kore ile ilgili bir işini yürüten tanıdığıyla iletişim kurmak için kullandı. Bunu takiben, faaliyetleri hakkında bilgi toplamak için bağlantıyı kullanmaya devam etti ve daha ardından "Kuzey Kore'nin son durumu ve ulusal güvenliğimiz" adlı kötü niyetli bir Word belgesi içeren bir oltalama e-postasıyla hedefe saldırdı.

Bu belge, kötü amaçlı bir makro ve çok aşamalı bir bulaşma süreci için bir yük içeriyordu. İlk aşama makrosu, kurbanın makinesinde bir Kaspersky güvenlik çözümünün olup olmadığını kontrol eder. Sistemde yüklüyse, makro, Visual Basic Uygulaması (VBA) için güven erişimi sağlar. Bunu yaparak, Microsoft Office tüm makrolara güvenecek ve herhangi bir kodu bir güvenlik uyarısı göstermeden veya kullanıcının iznini gerektirmeden çalıştıracaktır. Kaspersky güvenlik yazılımının kurulu olmaması durumunda, makro doğrudan sonraki aşamanın yükünün şifresini çözmeye devam eder. Daha sonra, bu ilk enfeksiyondan sonra, saldırganlar Chinotto kötü amaçlı yazılımını teslim etti ve ardından hassas bilgileri kontrol edip kurbanlardan sızdırabildi.

Analiz sırasında Kaspersky uzmanları, tümü Güney Kore'de bulunan diğer dört kurbanı ve 2021'in başından beri kullanımda olan güvenliği ihlal edilmiş web sunucularını da belirledi. Araştırmaya göre tehdidin hedefini belirli şirketler veya kuruluşlardan ziyade bireyler oluşturuyor.

Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT) Baş Güvenlik Araştırmacısı Seongsu Park, şunları söylüyor: "Birçok gazeteci, sığınmacı ve insan hakları aktivisti, karmaşık siber saldırıların hedefinde. Ancak, genellikle bu tür izleme saldırılarına karşı savunma ve bunlara verme araçlarından yoksunlar. Bu araştırma, güvenlik uzmanlarının bilgi paylaşımının ve yeni güvenlik türlerine yatırım yapmasının önemini gösteriyor. Ayrıca yerel CERT ile olan iş birliğimiz, ScarCruft'un altyapısı ve teknik özellikleri hakkında bize benzersiz bir bakış açısı sağladı. Bunun saldırılara karşı güvenliğimizi artıracağını umuyorum."

Bu tür tehditlerden korumak için Kaspersky kullanıcılara şunları öneriyor:

Uygulama ve programlarınızı güvenilir web sitelerinden indirin.

İşletim sisteminizi ve tüm yazılımlarınızı düzenli olarak güncelleyin. Birçok güvenlik sorunu, yazılımın güncellenmiş sürümleri yüklenerek çözülebilir.

E-posta eklerinden daima şüphelenin. Bir eki açmak veya bir bağlantıyı takip etmek için tıklamadan önce dikkatlice düşünün: Tanıdığınız ve güvendiğiniz birinden mi geliyor? Bekliyor muydunuz? Temiz mi? Adlarının ne olduğunu veya gerçekte nereye gittiklerini görmek için bağlantıların ve eklerin üzerine gelin.

Tüm bilgisayarlarınıza ve mobil cihazlarınıza, Kaspersky Internet Security for Android veya Kaspersky Total Security gibi güçlü bir güvenlik çözümü kullanın.

Kuruluşları korumak için Kaspersky’nin önerileri şunlar:

Kurumsal olmayan yazılım kullanımı için bir ilke ayarlayın. Güvenilmeyen kaynaklardan yetkisiz uygulamaları indirmenin riskleri konusunda çalışanlarınızı eğitin.

Birçok hedefli saldırı kimlik avı veya diğer sosyal mühendislik teknikleriyle başladığından, personelinize temel siber güvenlik hijyeni eğitimi verin.

Anti-APT ve EDR çözümlerini kurun. Tehdit keşfine ve tespitine, soruşturmaya ve olayların zamanında düzeltilmesine olanak sağlayın. SOC ekibinize en son tehdit istihbaratına erişim sağlayın ve profesyonel eğitimlerle düzenli olarak becerilerini yükseltin. Yukarıdakilerin tümü Kaspersky Expert Security çerçevesinde mevcuttur.

Uygun uç nokta korumasının yanı sıra özel hizmetler, yüksek profilli saldırılara karşı yardımcı olabilir. Kaspersky Managed Detection and Response hizmeti, saldırganlar hedeflerine ulaşmadan önce saldırıları erken aşamalarında belirlemeye ve durdurmaya yardımcı olabilir.