İSTANBUL (AA) - Kaspersky araştırmacıları, Kuzey Koreli sığınmacıları ve insan hakları aktivistlerini hedef alan "Chinotto" adlı önceden bilinmeyen kötü amaçlı bir yazılımı ortaya çıkardı.
Kaspersky'den yapılan açıklamaya göre, ScarCruft grubu çoğunlukla Kore Yarımadası, Kuzey Kore'den kaçanlar ve yerel gazetecilerle ilgili hükümet organizasyonlarını gözetlediği bilinen, ulus-devlet destekli bir APT aktörü olarak öne çıkıyor. Yakın zamanda yerel bir haber servisi, siber güvenlik araştırmaları sırasında teknik yardım talebiyle Kaspersky'e başvurdu.
Kaspersky araştırmacıları, ScarCruft tarafından ele geçirilen bir bilgisayar üzerinde daha derin bir araştırma yapma fırsatı buldu. Kaspersky uzmanları, saldırganın komuta ve kontrol altyapısını araştırmak için yerel CERT ile yakın iş birliği içinde çalıştı. Analiz sırasında Kaspersky, söz konusu tehdit aktörü tarafından Kuzey Kore ile bağlantılı kullanıcılara odaklanan ayrıntılı bir hedefli kampanya ortaya çıkardı.
Soruşturma sonucunda Kaspersky uzmanları, "Chinotto" adlı kötü amaçlı bir Windows yürütülebilir dosyası keşfetti. Bu kötü amaçlı yazılımın 3 sürümü (PowerShell, yürütülebilir Windows uygulaması ve Android uygulaması) bulunuyor. Her 3 sürüm de HTTP iletişimine dayalı benzer bir komut ve kontrol şemasını paylaşıyor. Bu, kötü amaçlı yazılım operatörlerinin tüm kötü amaçlı yazılım ailesini bir dizi komut ve kontrol komut dosyası aracılığıyla kontrol edebileceği anlamına geliyor.
Operatör, kötü amaçlı yazılımı kurbanın bilgisayarına ve telefonuna aynı anda bulaştırdığında telefondan SMS mesajlarını çalarak mesajlaşma programları veya e-postalardaki iki faktörlü kimlik doğrulamanın üstesinden gelebiliyor. Sonrasında operatör ilgilendiği herhangi bir bilgiyi çalabiliyor ve kurbanın tanıdıklarına veya iş ortaklarına yönelik saldırılarına devam edebiliyor.
Bu kötü amaçlı yazılımın özelliklerinden biri, analizi engellemeye yönelik bir yığın gereksiz kod içermesi. Bunlar arabelleği kasten anlamsız verilerle dolduran ve asla kullanmayan kötü amaçlı yazılımlardan oluşuyor.
Ayrıca, incelenen bilgisayarda PowerShell kötü amaçlı yazılımına rastlandı ve Kaspersky araştırmacıları, saldırganın kurbanın verilerini çaldığına ve aylarca eylemlerini izlediğine dair kanıtlar buldu. Uzmanlar, ne kadar süreyle ve hangi verilerin çalındığını tam olarak bilemese de kötü amaçlı yazılım operatörünün 2021 yılının temmuz ve ağustos ayları arasında ekran görüntüleri topladığını ve bunları sızdırdığını biliyor.
Başlangıçta saldırgan, kurbanın çalınan Facebook hesabını kurbanın Kuzey Kore ile ilgili bir işini yürüten tanıdığıyla iletişim kurmak için kullandı. Bunu takiben, faaliyetleri hakkında bilgi toplamak için bağlantıyı kullanmaya devam etti ve daha sonra "Kuzey Kore'nin son durumu ve ulusal güvenliğimiz" adlı kötü niyetli bir Word belgesi içeren bir oltalama e-postasıyla hedefe saldırdı.
Bu belge, kötü amaçlı bir makro ve çok aşamalı bir bulaşma süreci için bir yük içeriyordu. İlk aşama makrosu, kurbanın makinesinde bir Kaspersky güvenlik çözümünün olup olmadığını kontrol ediyor. Sistemde yüklüyse makro, Visual Basic Uygulaması (VBA) için güven erişimi sağlıyor. Bunu yaparak, Microsoft Office tüm makrolara güveniyor ve herhangi bir kodu, bir güvenlik uyarısı göstermeden veya kullanıcının iznini gerektirmeden programı çalıştırıyor. Kaspersky güvenlik yazılımının kurulu olmaması durumunda makro doğrudan sonraki aşamanın yükünün şifresini çözmeye devam eder. Bu ilk enfeksiyondan sonra saldırganlar Chinotto kötü amaçlı yazılımını teslim etti ve ardından hassas bilgileri kontrol edip kurbanlardan sızdırabildi.
Analiz sırasında Kaspersky uzmanları, tümü Güney Kore'de bulunan diğer 4 kurbanı ve 2021'in başından beri kullanımda olan güvenliği ihlal edilmiş web sunucularını da belirledi. Araştırmaya göre, tehdidin hedefini belirli şirketler veya kuruluşlardan ziyade bireyler oluşturuyor.
- "Araştırma, güvenlik uzmanlarının bilgi paylaşımının ve yeni güvenlik türlerine yatırım yapmasının önemini gösteriyor"
Açıklamada görüşlerine yer verilen Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT) Baş Güvenlik Araştırmacısı Seongsu Park, "Birçok gazeteci, sığınmacı ve insan hakları aktivisti, karmaşık siber saldırıların hedefinde. Ancak genellikle bu tür izleme saldırılarına karşı savunma ve bunlara verme araçlarından yoksunlar. Bu araştırma, güvenlik uzmanlarının bilgi paylaşımının ve yeni güvenlik türlerine yatırım yapmasının önemini gösteriyor. Ayrıca, yerel CERT ile olan iş birliğimiz, ScarCruft'un altyapısı ve teknik özellikleri hakkında bize benzersiz bir bakış açısı sağladı. Bunun saldırılara karşı güvenliğimizi artıracağını umuyorum." ifadelerini kullandı.
Kaspersky, bu tür tehditlerden korumak için kullanıcılara şunları öneriyor:
"Uygulama ve programlarınızı güvenilir web sitelerinden indirin. İşletim sisteminizi ve tüm yazılımlarınızı düzenli olarak güncelleyin. Birçok güvenlik sorunu, yazılımın güncellenmiş sürümleri yüklenerek çözülebilir. e-posta eklerinden daima şüphelenin. Bir eki açmak veya bir bağlantıyı takip etmek için tıklamadan önce dikkatlice düşünün; tanıdığınız ve güvendiğiniz birinden mi geliyor, bekliyor muydunuz, temiz mi? Adlarının ne olduğunu veya gerçekte nereye gittiklerini görmek için bağlantıların ve eklerin üzerine gelin. Tüm bilgisayarlarınıza ve mobil cihazlarınıza Kaspersky Internet Security for Android veya Kaspersky Total Security gibi güçlü bir güvenlik çözümü kullanın."
Kaspersky'nin kuruluşları korumak için önerileri de şöyle:
"Kurumsal olmayan yazılım kullanımı için bir ilke ayarlayın. Güvenilmeyen kaynaklardan yetkisiz uygulamaları indirmenin riskleri konusunda çalışanlarınızı eğitin. Birçok hedefli saldırı kimlik avı veya diğer sosyal mühendislik teknikleriyle başladığından personelinize temel siber güvenlik hijyeni eğitimi verin. Anti-APT ve EDR çözümlerini kurun. Tehdit keşfine ve tespitine, soruşturmaya ve olayların zamanında düzeltilmesine olanak sağlayın. SOC ekibinize en son tehdit istihbaratına erişim sağlayın ve profesyonel eğitimlerle düzenli olarak becerilerini yükseltin. Bunların tümü Kaspersky Expert Security çerçevesinde mevcuttur. Uygun uç nokta korumasının yanı sıra özel hizmetler, yüksek profilli saldırılara karşı yardımcı olabilir. Kaspersky Managed Detection and Response hizmeti, saldırganlar hedeflerine ulaşmadan önce saldırıları erken aşamalarında belirlemeye ve durdurmaya yardımcı olabilir."