ScarCruft tedarik zinciri akınıyla oyun platformunu ele geçirdi

Siber  güvenlik şirketi ESET’in bulgularına nazaran, Kuzey Kore temaslı APT kümesi ScarCruft, tedarik zinciri casusluk saldırısı kapsamında bir oyun platformunu ele geçirdi. Kampanya ile  amaçlanan casusluk; art kapı, ferdî bilgileri ve dokümanları toplamak, ekran imajları almak ve ses kayıtları yapmak. Hücumun, Kuzey Kore rejimi tarafından ilgi alımlı görülen bireyler, büyük olasılıkla mülteciler yahut kaçaklar hakkında bilgi toplamayı amaçladığı düşünülüyor.

 ESET araştırmacıları, Kuzey Kore ile ilişkili APT kümesi ScarCruft tarafından Çin’in Yanbian bölgesini gaye alan çok platformlu bir tedarik zinciri saldırısı ortaya çıkardı. Yanbian, etnik Korelilerin yaşadığı ve Kuzey Koreli mülteciler ile kaçakların geçiş noktası olan bir bölge. 2024 yılı sonlarından beri devam ettiği düşünülen atakta ScarCruft, Yanbian temalı oyunlara adanmış bir görüntü oyun platformunun Windows ve Android bileşenlerini ele geçirerek bunları bir art kapı ile trojanlaştırdı. ESET tarafından BirdCall olarak isimlendirilen bu art kapının başlangıçta sadece Windows’u hedeflediği biliniyordu; Android sürümü ise daha sonra bu tedarik zinciri saldırısının bir modülü olarak keşfedildi.  

Son atakta keşfedilen BirdCall’un Android sürümü, Windows art kapısının komut ve yeteneklerinin bir alt kümesini uyguluyor; kişi listelerini, SMS bildirilerini, arama kayıtlarını, evrakları, medya evraklarını ve özel anahtarları topluyor. Ayrıyeten ekran imajları alabiliyor ve etrafındaki sesleri kaydedebiliyor. ESET, bu araştırmaya dayanarak Android BirdCall’un birkaç ay boyunca faal olarak geliştirildiğini ve en az yedi sürümün kullanıma sunulduğunu keşfetti.

Bu hücumda ele geçirilen web sitesi Yanbian halkına ve klasik oyunlarına adanmış olduğundan ESET akının birincil amaçlarının Yanbian’da yaşayan etnik Koreliler olduğu sonucuna vardı. Taarruzun,Yanbian bölgesinde yaşayan (veya buradan gelen), büyük olasılıkla mülteciler yahut kaçaklar ve Kuzey Kore rejimi tarafından ilgi cazip görülen şahıslar hakkında bilgi toplamayı amaçladığı düşünülüyor.

Oyun platformunun Windows istemcisi, RokRAT art kapısına yol açan makus gayeli bir güncelleme yoluyla ele geçirildi,  bu da daha sofistike BirdCall art kapısını devreye soktu. ScarCruft’un son saldırısını keşfeden ESET araştırmacısı Filip Jurčacko “Mağdurlar, aygıtlarındaki tek bir sayfadan bir web tarayıcısı aracılığıyla trojan bulaşmış oyunları indirdiler ve muhtemelen bunları kasıtlı olarak yüklediler. Resmî Google Play mağazasında öbür rastgele bir APK pozisyonu yahut makus emelli APK tespit etmedik. Web sitesinin ne vakit birinci kere ele geçirildiğini ve tedarik zinciri saldırısının ne vakit başladığını belirleyemedik. Lakin dağıtılan makûs maksatlı yazılımın tahliline dayanarak, bunun 2024’ün sonlarında gerçekleştiğini varsayım ediyoruz” açıklamasını yaptı .

Göz Atın

BMC Yeni Jenerasyon Savunma Sanayi Araçlarını SAHA EXPO 2026’da Tanıttı

Kaspersky, Daemon Tools Resmi Web Sitesi Üzerinden Yürütülen Tedarik Zinciri Saldırısını Ortaya Çıkardı

Oyunda kesintisiz performans sunan bilgisayar modelleri

Windows art kapısı birinci olarak 2021’de keşfedilmiş ve ESET Tehdit İstihbaratı raporu kapsamında ScarCruft’a atfedilmişti. Özgün Windows art kapısı, ekran manzarası alma, tuş vuruşlarını ve panodaki içeriği kaydetme, kimlik bilgilerini ve evrakları çalma ve kabuk komutlarını yürütme dâhil olmak üzere çok çeşitli casusluk yeteneklerine sahiptir. Art kapı, C&C hedefleri için Dropbox yahut pCloud üzere yasal bulut depolama hizmetlerini yahut ele geçirilmiş web sitelerini kullanır. 

APT37 yahut Reaper olarak da bilinen ScarCruft, en az 2012 yılından beri faaliyet gösteriyor ve Kuzey Kore casusluk kümesi olduğundan şüpheleniliyor. Küme öncelikle Güney Kore’ye odaklansa da başka Asya ülkeleri de gaye alınıyor. ScarCruft, temel olarak hükümet ve askeri kuruluşlarla ve Kuzey Kore’nin çıkarlarıyla kontaklı çeşitli kesimlerdeki şirketlerle ilgileniyor üzere görünmektedir. Küme ayrıyeten Kuzey Kore’den kaçanları da amaç almaktadır.

Kaynak: (BYZHA) Beyaz Haber Ajansı