Korece konuşan şahıslardan oluşan ve devlet takviyeli olduğu düşünülen ScarCruft gelişmiş kalıcı tehdit (APT) kümesi, siyasi gayeli bilgi toplamak maksadıyla Kore Yarımadası’nda devlet kurumlarını ve şirketleri amaç alıyor. Kaspersky Lab’ın gözlemlediği en son faaliyetlerde kümenin kendini geliştirdiği ve yeni araçlar test ettiği görüldü. Taşınabilir aygıtlardan elde edilen datalara odaklanan küme, siber casusluk operasyonları için yasal araç ve hizmetlerden yararlanıyor.
Grubun taarruzları, birçok APT’nin yaptığı üzere maksat odaklı kimlik avı yahut ‘tuzak kurma’ ile başlıyor. Stratejik web sitelerinin ele geçirildiği ‘tuzak kurma’ metodunda, siteye giren makul ziyaretçilerin aygıtlarına ziyanlı yazılım bulaştırmak için açıklardan yararlanılıyor.
ScarCruft’ın akınlarında bu kademenin akabinde, Windows UAC (Kullanıcı Hesabı Denetimi) özelliğini aşabilen bir yazılım devreye giriyor. Bu yazılım, olağanda kurumlarda yasal sızıntı testleri için kullanılan bir kod aracılığıyla daha yüksek yetki elde ediyor. Ziyanlı yazılımın ağ düzeyindeyken yakalanmasını önlemek için steganografi tekniği kullanılıyor. Bu teknikte ziyanlı kodlar bir fotoğraf belgesinin içine saklanıyor. Atağın son basamağında ise ROKRAT ismiyle bilinen bulut tabanlı bir art kapı kuruluyor. Bu art kapı, kurbanların sistemlerinden ve aygıtlarından birçok bilgiyi alıp Box, Dropbox, pCloud ve Yandex Disk bulut servislerine aktarıyor.
Kaspersky Lab araştırmacıları kümenin taşınabilir aygıtlardan data çalmaya ilgi gösterdiğini ve Windows Bluetooth API kullanarak Bluetooth aygıtlarını tanımlayan bir ziyanlı yazılım geliştirdiğini keşfetti.
Yapılan araştırmaya nazaran, bu taarruzun kurbanları ortasında Kuzey Kore ile alakalı Vietnamlı ve Rus yatırım ve ticaret şirketleri ile Hong Kong ve Kuzey Kore’deki diplomatik kurumlar yer alıyor.ScurCruft’ın gaye aldığı Rusya merkezli kurbanlardan birinin daha evvel de tekrar Korece konuşan şahıslardan oluşan DarkHotel kümesi tarafından amaç alındığı belirlendi.
Kaspersky Lab Küresel Araştırma ve Tahlil Grubu Kıdemli Güvenlik Araştırmacısı Seongsu Park, “ScarCruft ile DarkHotel’in kesiştiği birinci akın bu değil. İki küme emsal yerleri gaye alsa da kullandıkları araçlar, teknikler ve süreçler birbirinden çok farklı. Bu da bir kümenin daima oburunun gölgesinde dolaştığını düşünmemize neden oluyor. ScarCruft daha dikkatli ve düşük profil çizmeye çalışan, öte yandan da epey yetenekli ve etkin bir küme. Yeni araçlar geliştirip kullanma konusunda son derece mahirler. Bu kümenin kendini geliştirmeye devam edeceğini düşünüyoruz.” dedi.
