Korece konuşan şahıslardan oluşan ve devlet takviyeli olduğu düşünülen ScarCruft gelişmiş kalıcı tehdit (APT) kümesi, siyasi emelli bilgi toplamak gayesiyle Kore Yarımadası’nda devlet kurumlarını ve şirketleri gaye alıyor. Kaspersky Lab’ın gözlemlediği en son faaliyetlerde kümenin kendini geliştirdiği ve yeni araçlar test ettiği görüldü. Taşınabilir aygıtlardan elde edilen datalara odaklanan küme, siber casusluk operasyonları için yasal araç ve hizmetlerden yararlanıyor.
Grubun akınları, birçok APT’nin yaptığı üzere maksat odaklı kimlik avı yahut ‘tuzak kurma’ ile başlıyor. Stratejik web sitelerinin ele geçirildiği ‘tuzak kurma’ tekniğinde, siteye giren muhakkak ziyaretçilerin aygıtlarına ziyanlı yazılım bulaştırmak için açıklardan yararlanılıyor.
ScarCruft’ın ataklarında bu kademenin akabinde, Windows UAC (Kullanıcı Hesabı Denetimi) özelliğini aşabilen bir yazılım devreye giriyor. Bu yazılım, olağanda kurumlarda yasal sızıntı testleri için kullanılan bir kod aracılığıyla daha yüksek yetki elde ediyor. Ziyanlı yazılımın ağ düzeyindeyken yakalanmasını önlemek için steganografi tekniği kullanılıyor. Bu teknikte ziyanlı kodlar bir fotoğraf evrakının içine saklanıyor. Akının son evresinde ise ROKRAT ismiyle bilinen bulut tabanlı bir art kapı kuruluyor. Bu art kapı, kurbanların sistemlerinden ve aygıtlarından birçok bilgiyi alıp Box, Dropbox, pCloud ve Yandex Disk bulut servislerine aktarıyor.
Kaspersky Lab araştırmacıları kümenin taşınabilir aygıtlardan bilgi çalmaya ilgi gösterdiğini ve Windows Bluetooth API kullanarak Bluetooth aygıtlarını tanımlayan bir ziyanlı yazılım geliştirdiğini keşfetti.
Yapılan araştırmaya nazaran, bu taarruzun kurbanları ortasında Kuzey Kore ile bağlantılı Vietnamlı ve Rus yatırım ve ticaret şirketleri ile Hong Kong ve Kuzey Kore’deki diplomatik kurumlar yer alıyor.ScurCruft’ın gaye aldığı Rusya merkezli kurbanlardan birinin daha evvel de yeniden Korece konuşan şahıslardan oluşan DarkHotel kümesi tarafından amaç alındığı belirlendi.
Kaspersky Lab Küresel Araştırma ve Tahlil Takımı Kıdemli Güvenlik Araştırmacısı Seongsu Park, “ScarCruft ile DarkHotel’in kesiştiği birinci akın bu değil. İki küme emsal yerleri gaye alsa da kullandıkları araçlar, teknikler ve süreçler birbirinden çok farklı. Bu da bir kümenin daima oburunun gölgesinde dolaştığını düşünmemize neden oluyor. ScarCruft daha dikkatli ve düşük profil çizmeye çalışan, öte yandan da epeyce yetenekli ve etkin bir küme. Yeni araçlar geliştirip kullanma konusunda son derece mahirler. Bu kümenin kendini geliştirmeye devam edeceğini düşünüyoruz.” dedi.