Karmaşık saldırılarıyla bilinen ScarCruft, APT37 veya RedEyes olarak da bilinir ve Avrupa'daki insan hakları aktivistleri, firariler ve siyasi oluşumlara odaklanarak Güney Kore'nin dijital altyapısını hedef alır.
Bilgisayar korsanları, Güney Koreli bir reklam ajansının sunucusunu ele geçirerek, ülkede yaygın olarak kullanılan popüler ancak adı verilmeyen ücretsiz bir yazılım aracılığıyla kötü amaçlı tost reklamları dağıttı. Bu reklamlar, bir JavaScript dosyasını tetikleyen gizli bir iframe taşıyordu.
Kuzey Kore'nin devlet bağlantılı hacker grubu ScarCruft, Güney Kore'ye karşı büyük bir siber casusluk kampanyası başlattı ve RokRAT kötü amaçlı yazılımını dağıtmak için Internet Explorer'daki bir kusurdan yararlandı. Karmaşık saldırılarıyla bilinen ScarCruft, APT37 veya RedEyes olarak da bilinir ve Avrupa'daki insan hakları aktivistleri, firariler ve siyasi oluşumlara odaklanarak Güney Kore dijital altyapısını hedef aldı.
"Code on Toast" adını taşıyan bu son kampanya, Internet Explorer'ın kullanımdan kaldırılmasından sonra bile yaygın olarak kullanılan sistemlere gömülü yazılımlardaki güvenlik açıkları konusunda ciddi endişelere yol açtı.
Yenilikçi "Toast Reklamları" ile Internet Explorer istismar edildi
ScarCruft'un saldırısı, CVE-2024-38178 olarak izlenen ve 7,5 şiddet puanına sahip bir Internet Explorer sıfır günlük güvenlik açığının akıllıca bir şekilde istismarına dayanıyor. Grup, antivirüs yazılımı veya yardımcı programlardan gelen zararsız açılır reklamlar olan tost bildirimlerini kullanarak, sıfır tıklamalı enfeksiyon yöntemiyle kötü amaçlı yazılımları sessizce iletti.Bilgisayar korsanları, Güney Koreli bir reklam ajansının sunucusunu ele geçirerek, ülkede yaygın olarak kullanılan popüler ancak adı verilmeyen ücretsiz bir yazılım aracılığıyla kötü amaçlı tost reklamları dağıttı. Bu reklamlar, Chakra motorunun JScript9.dll dosyasındaki Internet Explorer güvenlik açığını kullanan bir JavaScript dosyasını tetikleyen gizli bir iframe taşıyordu. Internet Explorer 2022'de resmen emekliye ayrılmış olmasına rağmen, Windows sistemlerindeki kalan bileşenleri onu bu saldırı için birincil hedef haline getirdi.
Sistemlere enjekte edilen kötü amaçlı kod endişe verici derecede karmaşıktı ve ek exploit katmanlarıyla önceki Microsoft güvenlik yamalarını atlatıyordu. Bu kampanya, ScarCruft'un 2022'de benzer bir güvenlik açığını daha önce kullanmasını yansıtıyordu ancak tespit edilmekten kaçınmak için yeni numaralar ekledi.
RokRAT kötü amaçlı yazılımı ve güçlü tehditleri
Güvenlik açığı istismar edildikten sonra ScarCruft, enfekte olmuş sistemlere RokRAT kötü amaçlı yazılımını dağıttı. Bu kötü amaçlı yazılım, gözetleme ve veri hırsızlığı için güçlü bir araçtır. .doc, .xls ve .ppt gibi uzantılara sahip dosyaları her 30 dakikada bir Yandex bulut sunucusuna sızdırır. Dosya hırsızlığının ötesinde, RokRAT tuş vuruşlarını kaydedebilir, panodaki etkinliği izleyebilir ve her üç dakikada bir ekran görüntüsü alabilir ve eksiksiz bir gözetleme paketi sağlayabilir.Enfeksiyon süreci dört aşamada gerçekleşir ve antivirüs tespitinden kaçmak için 'explorer.exe' işlemi içinde gizli yükler bulunur. Avast veya Symantec gibi güvenlik araçları tespit edilirse, kötü amaçlı yazılım Windows sistem klasöründen rastgele yürütülebilir dosyalara enjekte ederek uyum sağlar. Kalıcılık, son yükün başlangıç klasörüne yerleştirilmesi ve kontrolü sürdürmek için düzenli aralıklarla çalıştırılmasıyla sağlanır.
Güney Kore alarm halinde
ScarCruft'un bu tür gelişmiş teknikleri kullanması, Güney Kore'nin dijital dünyasına yönelik giderek artan bir tehdide işaret ediyor.Güncel olmayan sistemleri aşamalı olarak kaldırma çabalarına rağmen, Internet Explorer gibi eski bileşenlerdeki güvenlik açıkları zayıf bir nokta olmaya devam ediyor. Bu kampanya, kuruluşlara güncellemeleri önceliklendirmeleri ve giderek daha karmaşık hale gelen devlet destekli siber tehditlere karşı sağlam siber güvenlik savunmalarını sürdürmeleri için sert bir hatırlatma görevi görüyor.
