ScarCruft tedarik zinciri taarruzuyla oyun platformunu ele geçirdi

Siber  güvenlik şirketi ESET’in bulgularına nazaran, Kuzey Kore irtibatlı APT kümesi ScarCruft, tedarik zinciri casusluk saldırısı kapsamında bir oyun platformunu ele geçirdi. Kampanya ile  amaçlanan casusluk; art kapı, ferdî bilgileri ve evrakları toplamak, ekran imajları almak ve ses kayıtları yapmak. Atağın, Kuzey Kore rejimi tarafından ilgi cazibeli görülen bireyler, büyük olasılıkla mülteciler yahut kaçaklar hakkında bilgi toplamayı amaçladığı düşünülüyor.

 ESET araştırmacıları, Kuzey Kore ile kontaklı APT kümesi ScarCruft tarafından Çin’in Yanbian bölgesini gaye alan çok platformlu bir tedarik zinciri saldırısı ortaya çıkardı. Yanbian, etnik Korelilerin yaşadığı ve Kuzey Koreli mülteciler ile kaçakların geçiş noktası olan bir bölge. 2024 yılı sonlarından beri devam ettiği düşünülen taarruzda ScarCruft, Yanbian temalı oyunlara adanmış bir görüntü oyun platformunun Windows ve Android bileşenlerini ele geçirerek bunları bir art kapı ile trojanlaştırdı. ESET tarafından BirdCall olarak isimlendirilen bu art kapının başlangıçta sırf Windows’u hedeflediği biliniyordu; Android sürümü ise daha sonra bu tedarik zinciri saldırısının bir modülü olarak keşfedildi.  

Son akında keşfedilen BirdCall’un Android sürümü, Windows art kapısının komut ve yeteneklerinin bir alt kümesini uyguluyor; kişi listelerini, SMS bildirilerini, arama kayıtlarını, dokümanları, medya belgelerini ve özel anahtarları topluyor. Ayrıyeten ekran imgeleri alabiliyor ve etrafındaki sesleri kaydedebiliyor. ESET, bu araştırmaya dayanarak Android BirdCall’un birkaç ay boyunca etkin olarak geliştirildiğini ve en az yedi sürümün kullanıma sunulduğunu keşfetti.

Bu akında ele geçirilen web sitesi Yanbian halkına ve klâsik oyunlarına adanmış olduğundan ESET hücumun birincil maksatlarının Yanbian’da yaşayan etnik Koreliler olduğu sonucuna vardı. Atağın,Yanbian bölgesinde yaşayan (veya buradan gelen), büyük olasılıkla mülteciler yahut kaçaklar ve Kuzey Kore rejimi tarafından ilgi cazip görülen şahıslar hakkında bilgi toplamayı amaçladığı düşünülüyor.

Oyun platformunun Windows istemcisi, RokRAT art kapısına yol açan berbat gayeli bir güncelleme yoluyla ele geçirildi,  bu da daha sofistike BirdCall art kapısını devreye soktu. ScarCruft’un son saldırısını keşfeden ESET araştırmacısı Filip Jurčacko “Mağdurlar, aygıtlarındaki tek bir sayfadan bir web tarayıcısı aracılığıyla trojan bulaşmış oyunları indirdiler ve muhtemelen bunları kasıtlı olarak yüklediler. Resmî Google Play mağazasında diğer rastgele bir APK pozisyonu yahut makus maksatlı APK tespit etmedik. Web sitesinin ne vakit birinci sefer ele geçirildiğini ve tedarik zinciri saldırısının ne vakit başladığını belirleyemedik. Fakat dağıtılan berbat maksatlı yazılımın tahliline dayanarak, bunun 2024’ün sonlarında gerçekleştiğini varsayım ediyoruz” açıklamasını yaptı .

Windows art kapısı birinci olarak 2021’de keşfedilmiş ve ESET Tehdit İstihbaratı raporu kapsamında ScarCruft’a atfedilmişti. Yepyeni Windows art kapısı, ekran imgesi alma, tuş vuruşlarını ve panodaki içeriği kaydetme, kimlik bilgilerini ve belgeleri çalma ve kabuk komutlarını yürütme dâhil olmak üzere çok çeşitli casusluk yeteneklerine sahiptir. Art kapı, C&C gayeleri için Dropbox yahut pCloud üzere yasal bulut depolama hizmetlerini yahut ele geçirilmiş web sitelerini kullanır. 

APT37 yahut Reaper olarak da bilinen ScarCruft, en az 2012 yılından beri faaliyet gösteriyor ve Kuzey Kore casusluk kümesi olduğundan şüpheleniliyor. Küme öncelikle Güney Kore’ye odaklansa da başka Asya ülkeleri de gaye alınıyor. ScarCruft, temel olarak hükümet ve askeri kuruluşlarla ve Kuzey Kore’nin çıkarlarıyla ilişkili çeşitli bölümlerdeki şirketlerle ilgileniyor üzere görünmektedir. Küme ayrıyeten Kuzey Kore’den kaçanları da maksat almaktadır.

Kaynak: (BYZHA) Beyaz Haber Ajansı