ScarCruft tedarik zinciri akınıyla oyun platformunu ele geçirdi
Siber güvenlik şirketi ESET’in bulgularına nazaran, Kuzey Kore kontaklı APT kümesi ScarCruft, tedarik zinciri casusluk saldırısı kapsamında bir oyun platformunu ele geçirdi. Kampanya ile amaçlanan casusluk; art kapı, ferdî bilgileri ve evrakları toplamak, ekran imajları almak ve ses kayıtları yapmak. Taarruzun, Kuzey Kore rejimi tarafından ilgi alımlı görülen şahıslar, büyük olasılıkla mülteciler yahut kaçaklar hakkında bilgi toplamayı amaçladığı düşünülüyor. ESET araştırmacıları, Kuzey Kore ile kontaklı APT kümesi ScarCruft tarafından Çin'in Yanbian bölgesini maksat alan çok platformlu bir tedarik zinciri saldırısı ortaya çıkardı. Yanbian, etnik Korelilerin yaşadığı ve Kuzey Koreli mülteciler ile kaçakların geçiş noktası olan bir bölge. 2024 yılı sonlarından beri devam ettiği düşünülen hücumda ScarCruft, Yanbian temalı oyunlara adanmış bir görüntü oyun platformunun Windows ve Android bileşenlerini ele geçirerek bunları bir art kapı ile trojanlaştırdı. ESET tarafından BirdCall olarak isimlendirilen bu art kapının başlangıçta sadece Windows'u hedeflediği biliniyordu; Android sürümü ise daha sonra bu tedarik zinciri saldırısının bir modülü olarak keşfedildi. Son atakta keşfedilen BirdCall'un Android sürümü, Windows art kapısının komut ve yeteneklerinin bir alt kümesini uyguluyor; kişi listelerini, SMS bildirilerini, arama kayıtlarını, dokümanları, medya belgelerini ve özel anahtarları topluyor. Ayrıyeten ekran manzaraları alabiliyor ve etrafındaki sesleri kaydedebiliyor. ESET, bu araştırmaya dayanarak Android BirdCall'un birkaç ay boyunca faal olarak geliştirildiğini ve en az yedi sürümün kullanıma sunulduğunu keşfetti.Bu taarruzda ele geçirilen web sitesi Yanbian halkına ve klasik oyunlarına adanmış olduğundan ESET hücumun birincil gayelerinin Yanbian'da yaşayan etnik Koreliler olduğu sonucuna vardı. Akının,Yanbian bölgesinde yaşayan (veya buradan gelen), büyük olasılıkla mülteciler yahut kaçaklar ve Kuzey Kore rejimi tarafından ilgi cazip görülen şahıslar hakkında bilgi toplamayı amaçladığı düşünülüyor.Oyun platformunun Windows istemcisi, RokRAT art kapısına yol açan makûs hedefli bir güncelleme yoluyla ele geçirildi, bu da daha sofistike BirdCall art kapısını devreye soktu. ScarCruft'un son saldırısını keşfeden ESET araştırmacısı Filip Jurčacko “Mağdurlar, aygıtlarındaki tek bir sayfadan bir web tarayıcısı aracılığıyla trojan bulaşmış oyunları indirdiler ve muhtemelen bunları kasıtlı olarak yüklediler. Resmî Google Play mağazasında öbür rastgele bir APK pozisyonu yahut berbat maksatlı APK tespit etmedik. Web sitesinin ne vakit birinci sefer ele geçirildiğini ve tedarik zinciri saldırısının ne vakit başladığını belirleyemedik. Lakin dağıtılan berbat hedefli yazılımın tahliline dayanarak, bunun 2024'ün sonlarında gerçekleştiğini kestirim ediyoruz” açıklamasını yaptı .Windows art kapısı birinci olarak 2021'de keşfedilmiş ve ESET Tehdit İstihbaratı raporu kapsamında ScarCruft'a atfedilmişti. Özgün Windows art kapısı, ekran imajı alma, tuş vuruşlarını ve panodaki içeriği kaydetme, kimlik bilgilerini ve evrakları çalma ve kabuk komutlarını yürütme dâhil olmak üzere çok çeşitli casusluk yeteneklerine sahiptir. Art kapı, C&C hedefleri için Dropbox yahut pCloud üzere legal bulut depolama hizmetlerini yahut ele geçirilmiş web sitelerini kullanır. APT37 yahut Reaper olarak da bilinen ScarCruft, en az 2012 yılından beri faaliyet gösteriyor ve Kuzey Kore casusluk kümesi olduğundan şüpheleniliyor. Küme öncelikle Güney Kore'ye odaklansa da öteki Asya ülkeleri de gaye alınıyor. ScarCruft, temel olarak hükümet ve askeri kuruluşlarla ve Kuzey Kore'nin çıkarlarıyla irtibatlı çeşitli dallardaki şirketlerle ilgileniyor üzere görünmektedir. Küme ayrıyeten Kuzey Kore'den kaçanları da amaç almaktadır. Kaynak: (BYZHA) Beyaz Haber Ajansı