Korece konuşan bireylerden oluşan ve devlet dayanaklı olduğu düşünülen ScarCruft gelişmiş kalıcı tehdit kümesi, siyasi gayeli bilgi toplamak maksadıyla Kore Yarımadası’nda devlet kurumlarını ve şirketleri amaç alıyor.
ScurCruft tehdidi her geçen gün büyüyor!
Kaspersky Lab’ın gözlemlediği en son faaliyetlerde kümenin kendini geliştirdiği ve yeni araçlar test ettiği görüldü. Taşınabilir aygıtlardan elde edilen datalara odaklanan küme, siber casusluk operasyonları için yasal araç ve hizmetlerden yararlanıyor.
Grubun hücumları, birçok APT’nin yaptığı üzere gaye odaklı kimlik avı yahut ‘tuzak kurma’ ile başlıyor. Stratejik web sitelerinin ele geçirildiği ‘tuzak kurma’ prosedüründe, siteye giren belli ziyaretçilerin aygıtlarına ziyanlı yazılım bulaştırmak için açıklardan yararlanılıyor.
ScarCruft’ın ataklarında bu etabın akabinde, Windows UAC (Kullanıcı Hesabı Denetimi) özelliğini aşabilen bir yazılım devreye giriyor. Bu yazılım, olağanda kurumlarda yasal sızıntı testleri için kullanılan bir kod aracılığıyla daha yüksek yetki elde ediyor.
Zararlı yazılımın ağ düzeyindeyken yakalanmasını önlemek için steganografi tekniği kullanılıyor. Bu teknikte ziyanlı kodlar bir fotoğraf belgesinin içine saklanıyor. Hücumun son kademesinde ise ROKRAT ismiyle bilinen bulut tabanlı bir art kapı kuruluyor.
Bu art kapı, kurbanların sistemlerinden ve aygıtlarından birçok bilgiyi alıp Box, Dropbox, pCloud ve Yandex Disk bulut servislerine aktarıyor. Kaspersky Lab araştırmacıları kümenin taşınabilir aygıtlardan data çalmaya ilgi gösterdiğini ve Windows Bluetooth API kullanarak Bluetooth aygıtlarını tanımlayan bir ziyanlı yazılım geliştirdiğini keşfetti.