Siber güvenlik şirketi ESET’in bulgularına nazaran, Kuzey Kore kontaklı APT kümesi ScarCruft, tedarik zinciri casusluk saldırısı kapsamında bir oyun platformunu ele geçirdi. Kampanya ile amaçlanan casusluk; art kapı, ferdî dataları ve dokümanları toplamak, ekran manzaraları almak ve ses kayıtları yapmak. Hücumun, Kuzey Kore rejimi tarafından ilgi cazibeli görülen bireyler, büyük olasılıkla mülteciler yahut kaçaklar hakkında bilgi toplamayı amaçladığı düşünülüyor.
ESET araştırmacıları, Kuzey Kore ile temaslı APT kümesi ScarCruft tarafından Çin’in Yanbian bölgesini gaye alan çok platformlu bir tedarik zinciri saldırısı ortaya çıkardı. Yanbian, etnik Korelilerin yaşadığı ve Kuzey Koreli mülteciler ile kaçakların geçiş noktası olan bir bölge. 2024 yılı sonlarından beri devam ettiği düşünülen hücumda ScarCruft, Yanbian temalı oyunlara adanmış bir görüntü oyun platformunun Windows ve Android bileşenlerini ele geçirerek bunları bir art kapı ile trojanlaştırdı. ESET tarafından BirdCall olarak isimlendirilen bu art kapının başlangıçta sadece Windows’u hedeflediği biliniyordu; Android sürümü ise daha sonra bu tedarik zinciri saldırısının bir kesimi olarak keşfedildi.
Son atakta keşfedilen BirdCall’un Android sürümü, Windows art kapısının komut ve yeteneklerinin bir alt kümesini uyguluyor; kişi listelerini, SMS iletilerini, arama kayıtlarını, evrakları, medya evraklarını ve özel anahtarları topluyor. Ayrıyeten ekran manzaraları alabiliyor ve etrafındaki sesleri kaydedebiliyor. ESET, bu araştırmaya dayanarak Android BirdCall’un birkaç ay boyunca faal olarak geliştirildiğini ve en az yedi sürümün kullanıma sunulduğunu keşfetti.
Bu akında ele geçirilen web sitesi Yanbian halkına ve klâsik oyunlarına adanmış olduğundan ESET taarruzun birincil maksatlarının Yanbian’da yaşayan etnik Koreliler olduğu sonucuna vardı. Atağın,Yanbian bölgesinde yaşayan (veya buradan gelen), büyük olasılıkla mülteciler yahut kaçaklar ve Kuzey Kore rejimi tarafından ilgi cazibeli görülen şahıslar hakkında bilgi toplamayı amaçladığı düşünülüyor.
Oyun platformunun Windows istemcisi, RokRAT art kapısına yol açan makus maksatlı bir güncelleme yoluyla ele geçirildi, bu da daha sofistike BirdCall art kapısını devreye soktu. ScarCruft’un son saldırısını keşfeden ESET araştırmacısı Filip Jurčacko “Mağdurlar, aygıtlarındaki tek bir sayfadan bir web tarayıcısı aracılığıyla trojan bulaşmış oyunları indirdiler ve muhtemelen bunları kasıtlı olarak yüklediler. Resmî Google Play mağazasında öbür rastgele bir APK pozisyonu yahut berbat gayeli APK tespit etmedik. Web sitesinin ne vakit birinci defa ele geçirildiğini ve tedarik zinciri saldırısının ne vakit başladığını belirleyemedik. Lakin dağıtılan makus hedefli yazılımın tahliline dayanarak, bunun 2024’ün sonlarında gerçekleştiğini kestirim ediyoruz” açıklamasını yaptı .
Windows art kapısı birinci olarak 2021’de keşfedilmiş ve ESET Tehdit İstihbaratı raporu kapsamında ScarCruft’a atfedilmişti. Özgün Windows art kapısı, ekran manzarası alma, tuş vuruşlarını ve panodaki içeriği kaydetme, kimlik bilgilerini ve evrakları çalma ve kabuk komutlarını yürütme dâhil olmak üzere çok çeşitli casusluk yeteneklerine sahiptir. Art kapı, C&C gayeleri için Dropbox yahut pCloud üzere yasal bulut depolama hizmetlerini yahut ele geçirilmiş web sitelerini kullanır.
APT37 yahut Reaper olarak da bilinen ScarCruft, en az 2012 yılından beri faaliyet gösteriyor ve Kuzey Kore casusluk kümesi olduğundan şüpheleniliyor. Küme öncelikle Güney Kore’ye odaklansa da başka Asya ülkeleri de amaç alınıyor. ScarCruft, temel olarak hükümet ve askeri kuruluşlarla ve Kuzey Kore’nin çıkarlarıyla temaslı çeşitli dallardaki şirketlerle ilgileniyor üzere görünmektedir. Küme ayrıyeten Kuzey Kore’den kaçanları da amaç almaktadır.
Kaynak: (BYZHA) Beyaz Haber Ajansı
