Güvenlik araştırmacıları, Kuzey Kore ile bağlantılı olduğu değerlendirilen APT grubu ScarCruft'un Çin'in Yanbian bölgesini hedef alan bir video oyun platformunu ele geçirerek hem Windows hem de Android bileşenlerine arka kapı yerleştirdiğini duyurdu.
İncelemede, Android için tespit edilen arka kapının BirdCall adlı bir sürümü olduğu ve bunun Windows arka kapısının komut ve yeteneklerinin bir alt kümesini uyguladığı belirtildi. Android BirdCall; kişi listeleri, SMS'ler, arama kayıtları, belgeler, medya dosyaları ve özel anahtarları toplamaya ek olarak ekran görüntüleri alma ve çevre seslerini kaydetme yeteneklerine sahip.
ScarCruft saldırısında Windows istemcisi, kötü amaçlı bir güncelleme aracılığıyla ele geçirilmiş; bu güncelleme önceki RokRAT arka kapısına yol açtı ve ardından daha sofistike BirdCall devreye sokuldu. Araştırmacı Filip Jurčacko, mağdurların tek bir web sayfasından tarayıcı aracılığıyla trojan bulaşmış oyunları indirip yüklediklerini ve resmi Google Play mağazasında başka kötü amaçlı APK tespit edilmediğini aktardı.
Araştırmacılar, Android BirdCall'un birkaç ay boyunca aktif olarak geliştirildiğini ve en az yedi sürümünün kullanıma sunulduğunu tespit etti. Web sitesinin ne zaman ilk kez ele geçirildiği veya tedarik zinciri saldırısının tam başlangıcı kesinleştirilemedi; ancak dağıtılan yazılımın analizine dayanarak bunun 2024'ün sonlarında gerçekleştiği tahmin ediliyor.
Windows arka kapısı ilk kez 2021'de keşfedilmiş ve ScarCruft'a atfedilmişti. Orijinal Windows arka kapısı; ekran görüntüsü alma, tuş vuruşlarını ve pano içeriğini kaydetme, kimlik bilgilerini ve dosyaları çalma ile kabuk komutları yürütme gibi kapsamlı casusluk yeteneklerine sahipti. C&C iletişimi için meşru bulut depolama hizmetleri veya ele geçirilmiş web siteleri kullanılabiliyordu.
ScarCruft (diğer adlarıyla APT37 veya Reaper), en az 2012'den beri faaliyet gösteriyor ve çoğunlukla Güney Kore'yi hedef alıyor; fakat başka Asya ülkeleri ve Kuzey Kore'den kaçanları da gözettiği belirtiliyor. Bu tespit, tedarik zinciri saldırılarının oyun ekosistemleri üzerinden de yürütülebileceğini gösteriyor ve hedeflenen bölgelerdeki kullanıcıları riske atıyor.
Yorumlar