Kuzey Kore’nin devlet destekli hacker grubu ScarCruft (APT37 veya RedEyes adlarıyla da bilinir), Güney Kore’ye yönelik yeni bir siber casusluk operasyonu başlattı. "Code on Toast" adı verilen bu saldırıda, Internet Explorer’daki kapatılmış bir güvenlik açığını kullanarak RokRAT adlı zararlı yazılımı yaydığı bildiriliyor.
ScarCruft, CVE-2024-38178 kodlu bir sıfır-gün güvenlik açığını kullanarak hedef sistemlere erişim sağladı.
Hedefleri Güney Kore'nin Altyapısı ve Bir Ajans
Güney Kore’nin altyapısı ve bir reklam ajansının sunucularını hedef alan hacker grubu, masum görünen toast bildirimleriaracılığıyla saldırıyı gerçekleştirdi. Bu bildirimleri sistem araçlarından veya antivürüs programlarından gelen bildirimler gibi nitelendirebiliriz ki zaten bu yüzden dikkat çekmiyor.
Saldırganlar Güney Kore’de popüler olan ücretsiz yazılımlar aracılığıyla toast bildirimlerini yayıp kullanıcıları fark ettirmeden zararlı kodu sistemlere yüklüyor.
RokRAT Yazılımı 3 Dakikada Bir Veri Çalıyor
RokRAT adı verilen bu yazılım .doc, .xls, .ppt gibi dosyalardan veri çalıyor ve her 30 dakikada bir Yandex bulut sunucusuna yüklüyor. Ayrıca klavye hareketlerini ve kopyala/yapıştır aktivitelerini de 3 dakikada bir ekran görüntüsü olarak kayıt ediyor.
Zararlı kod, başlangıçta tespit edilmemek için sistem dosyası explorer.exe içine gizleniyor. Virüs programları çoğu zaman bu dosyayı görüyor ve yok ediyor ancak yazılım farklı bir Windows sistem dosyasına enjekte edilerek çalışmaya devam ediyor.
Son evrede yazılım direkt olarak başlangıç klasörüne yerleştiriliyor ve düzenli aralıklarla çalıştırılarak sistem üzerinde sürekli kontrol ve veri çıkışı sağlıyor.