APT37 grubunun üyeleri, topladıkları saldırı verilerini yalnızca temel düzeyde sildi. Uzmanlar verileri geri yükledi ve ayrıntılı olarak analiz etti. Etkinlik zaman çizelgeleri, kötü amaçlı kod ve dahili işleyiş için pek çok yararlı ipucu buldular.
Siber suçlular bile verileri GitHub'da depolar ve verilerini tamamen silmeyi unutur. Zscaler ThreatLabz ekibi, Kuzey Kore merkezli bir Advanced Persistent Threats tehdit aktörü olan APT37'nin (aka ScarCruft veya Temp.Reaper) araçlarına, tekniklerine ve süreçlerine (TTP'ler) daha yakından baktı.
APT37'den gelen veriler prosedürü gösterir
Güvenlik araştırmacıları, araştırmaları sırasında grubun bir üyesine atadıkları bir GitHub deposuna rastladılar. Tehdit aktörü dosyaları depodan rutin olarak silmesine rağmen, tehdit analistleri silinen tüm dosyaları alıp inceleyebildi. Bir bilgi sızıntısı nedeniyle, bu APT grubu tarafından kullanılan kötü amaçlı dosyalar ve faaliyetlerinin zaman çizelgesi hakkında Ekim 2020'ye kadar uzanan çok sayıda bilgiye erişebildiler. Bu saldırganın havuzu aracılığıyla tanımlanan çok sayıda örnek, VirusTotal gibi OSINT kaynaklarında bulunmadığından grubun etkinliklerine ve yeteneklerine yeni bir ışık tutmaktadır.
Asıl amaç siber casusluk
APT37'nin ana hedefi, seçilen dosya biçimlerinin veri sızdırılması yoluyla yapılan siber casusluktur. Grup, çeşitli saldırı vektörleri aracılığıyla PowerShell tabanlı "Chinotto arka kapısını" çoğaltır. Kötüye kullanılan dosya biçimleri arasında Windows Yardım dosyaları (CHM), HTA, HWP (Hancom Office), XLL (MS Excel Eklentisi) ve makro tabanlı MS Office dosyaları bulunur. Grup ayrıca kimlik bilgilerini çalmak için tasarlanmış kimlik avı saldırılarına da karışmaktadır.
Bu grubun odak noktası, öncelikle Güney Kore'de casusluk yapmak ve orada veri çalmak için kişilerin sahip olduğu cihazlara virüs bulaştırmaktır. İlginç bir şekilde bunun için sadece Mart 2023'te gözlemlenen MS Office Excel eklentisini de kullanıyor. Bu, grubun sürekli olarak geliştiğini ve yeni saldırı modelleri ve teknikleri eklediğini gösteriyor. Kötü amaçlı yazılımı yaymak için jeopolitik, güncel olaylar, eğitim, finans veya sigortadan gelen güncel bir kanca seçilir.
Daha fazlası Zscaler.com'da
Zscaler Hakkında Zscaler, müşterilerin daha çevik, verimli, esnek ve güvenli olabilmesi için dijital dönüşümü hızlandırır. Zscaler Zero Trust Exchange, insanları, cihazları ve uygulamaları her yerde güvenli bir şekilde bağlayarak binlerce müşteriyi siber saldırılardan ve veri kaybından korur. SSE tabanlı Zero Trust Exchange, dünya çapında 150'den fazla veri merkezine dağıtılan dünyanın en büyük hat içi bulut güvenlik platformudur.