Yakın zamanda yapılan bir çalışmada Kaspersky araştırmacıları, Kuzey Koreli sığınmacıları ve insan hakları aktivistlerini hedef alan, Chinotto adlı önceden bilinmeyen kötü amaçlı bir yazılımı ortaya çıkardı. Gelişmiş Kalıcı Tehdit (APT) aktörü ScarCruft tarafından işletilen kötü amaçlı yazılım, PowerShell, Windows yürütülebilir dosyaları ve Android uygulamalarıyla yayılıyor. Araç hassas bilgileri hedeflerinden toplama ve sızdırma yeteneğine sahip. Ayrıca saldırganlar kurbanın güvenliği ihlal edilmiş sosyal ağlarını ve e-postasını kullanarak kişinin bağlantılarına da bulaşmaya çalışıyor.
ScarCruft grubu çoğunlukla Kore Yarımadası, Kuzey Kore’den kaçanlar ve yerel gazetecilerle ilgili hükümet organizasyonlarını gözetlediği bilinen, ulus-devlet destekli bir APT aktörü. Yakın zamanda yerel bir haber servisi, siber güvenlik araştırmaları sırasında teknik yardım talebiyle Kaspersky’e başvurdu. Böylece Kaspersky araştırmacıları, ScarCruft tarafından ele geçirilen bir bilgisayar üzerinde daha derin bir araştırma yapma fırsatı buldu. Kaspersky uzmanları, saldırganın komuta ve kontrol altyapısını araştırmak için yerel CERT ile yakın iş birliği içinde çalıştı. Analiz sırasında Kaspersky, söz konusu tehdit aktörü tarafından Kuzey Kore ile bağlantılı kullanıcılara odaklanan ayrıntılı bir hedefli kampanya ortaya çıkardı.
Soruşturma sonucunda Kaspersky uzmanları, Chinotto adlı kötü amaçlı bir Windows yürütülebilir dosyası keşfetti. Bu kötü amaçlı yazılımın üç sürümü mevcut: PowerShell, yürütülebilir Windows uygulaması ve Android uygulaması. Her üç sürüm de HTTP iletişimine dayalı benzer bir komut ve kontrol şemasını paylaşıyor. Bu, kötü amaçlı yazılım operatörlerinin tüm kötü amaçlı yazılım ailesini bir dizi komut ve kontrol komut dosyası aracılığıyla kontrol edebileceği anlamına geliyor.
Operatör kötü amaçlı yazılımı kurbanın bilgisayarına ve telefonuna aynı anda bulaştırdığında, telefondan SMS mesajlarını çalarak mesajlaşma programları veya e-postalardaki iki faktörlü kimlik doğrulamanın üstesinden gelebiliyor. Sonrasında operatör ilgilendiği herhangi bir bilgiyi çalabiliyor ve kurbanın tanıdıklarına veya iş ortaklarına yönelik saldırılarına devam edebiliyor.
Bu kötü amaçlı yazılımın özelliklerinden biri, analizi engellemeye yönelik bir yığın gereksiz kod içermesi. Bunlar arabelleği kasten anlamsız verilerle dolduran ve asla kullanmayan kötü amaçlı yazılımlardan oluşuyor.
Ayrıca incelenen bilgisayarda PowerShell kötü amaçlı yazılımına rastlandı ve Kaspersky araştırmacıları, saldırganın kurbanın verilerini çaldığına ve aylarca eylemlerini izlediğine dair kanıtlar buldu. Uzmanlar ne kadar süreyle ve hangi verilerin çalındığını tam olarak bilemese de kötü amaçlı yazılım operatörünün 2021 yılının Temmuz ve Ağustos ayları arasında ekran görüntüleri topladığını ve bunları sızdırdığını biliyorlar.
Başlangıçta saldırgan, kurbanın çalınan Facebook hesabını kurbanın Kuzey Kore ile ilgili bir işini yürüten tanıdığıyla iletişim kurmak için kullandı. Bunu takiben, faaliyetleri hakkında bilgi toplamak için bağlantıyı kullanmaya devam etti ve daha ardından “Kuzey Kore’nin son durumu ve ulusal güvenliğimiz” adlı kötü niyetli bir Word belgesi içeren bir oltalama e-postasıyla hedefe saldırdı.
Bu belge, kötü amaçlı bir makro ve çok aşamalı bir bulaşma süreci için bir yük içeriyordu. İlk aşama makrosu, kurbanın makinesinde bir Kaspersky güvenlik çözümünün olup olmadığını kontrol eder. Sistemde yüklüyse, makro, Visual Basic Uygulaması (VBA) için güven erişimi sağlar. Bunu yaparak, Microsoft Office tüm makrolara güvenecek ve herhangi bir kodu bir güvenlik uyarısı göstermeden veya kullanıcının iznini gerektirmeden çalıştıracaktır. Kaspersky güvenlik yazılımının kurulu olmaması durumunda, makro doğrudan sonraki aşamanın yükünün şifresini çözmeye devam eder. Daha sonra, bu ilk enfeksiyondan sonra, saldırganlar Chinotto kötü amaçlı yazılımını teslim etti ve ardından hassas bilgileri kontrol edip kurbanlardan sızdırabildi.
Analiz sırasında Kaspersky uzmanları, tümü Güney Kore’de bulunan diğer dört kurbanı ve 2021’in başından beri kullanımda olan güvenliği ihlal edilmiş web sunucularını da belirledi. Araştırmaya göre tehdidin hedefini belirli şirketler veya kuruluşlardan ziyade bireyler oluşturuyor.
Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT) Baş Güvenlik Araştırmacısı Seongsu Park, şunları söylüyor:
“Birçok gazeteci, sığınmacı ve insan hakları aktivisti, karmaşık siber saldırıların hedefinde. Ancak, genellikle bu tür izleme saldırılarına karşı savunma ve bunlara verme araçlarından yoksunlar. Bu araştırma, güvenlik uzmanlarının bilgi paylaşımının ve yeni güvenlik türlerine yatırım yapmasının önemini gösteriyor. Ayrıca yerel CERT ile olan iş birliğimiz, ScarCruft’un altyapısı ve teknik özellikleri hakkında bize benzersiz bir bakış açısı sağladı. Bunun saldırılara karşı güvenliğimizi artıracağını umuyorum.”