ScurCruft tehdidi her geçen gün büyüyor!

Devlet destekli olduğu düşünülen ScarCruft gelişmiş kalıcı tehdit grubu, her geçen gün büyümeye devam ediyor.

ScurCruft tehdidi her geçen gün büyüyor!

Korece konuşan kişilerden oluşan ve devlet destekli olduğu düşünülen ScarCruft gelişmiş kalıcı tehdit grubu, siyasi amaçlı bilgi toplamak amacıyla Kore Yarımadası’nda devlet kurumlarını ve şirketleri hedef alıyor.

ScurCruft tehdidi her geçen gün büyüyor!

Kaspersky Lab’ın gözlemlediği en son faaliyetlerde grubun kendini geliştirdiği ve yeni araçlar test ettiği görüldü. Mobil cihazlardan elde edilen verilere odaklanan grup, siber casusluk operasyonları için yasal araç ve hizmetlerden yararlanıyor.

Grubun saldırıları, çoğu APT’nin yaptığı gibi hedef odaklı kimlik avı veya ‘tuzak kurma’ ile başlıyor. Stratejik web sitelerinin ele geçirildiği ‘tuzak kurma’ yönteminde, siteye giren belirli ziyaretçilerin cihazlarına zararlı yazılım bulaştırmak için açıklardan yararlanılıyor.

ScarCruft’ın saldırılarında bu aşamanın ardından, Windows UAC (Kullanıcı Hesabı Denetimi) özelliğini aşabilen bir yazılım devreye giriyor. Bu yazılım, normalde kurumlarda yasal sızıntı testleri için kullanılan bir kod aracılığıyla daha yüksek yetki elde ediyor.

Zararlı yazılımın ağ seviyesindeyken yakalanmasını önlemek için steganografi tekniği kullanılıyor. Bu teknikte zararlı kodlar bir resim dosyasının içine saklanıyor. Saldırının son aşamasında ise ROKRAT adıyla bilinen bulut tabanlı bir arka kapı kuruluyor.

Bu arka kapı, kurbanların sistemlerinden ve cihazlarından birçok bilgiyi alıp Box, Dropbox, pCloud ve Yandex Disk bulut servislerine aktarıyor. Kaspersky Lab araştırmacıları grubun mobil cihazlardan veri çalmaya ilgi gösterdiğini ve Windows Bluetooth API kullanarak Bluetooth cihazlarını tanımlayan bir zararlı yazılım geliştirdiğini keşfetti.