XenoRAT zararlı yazılımı Güney Kore’deki yabancı elçilikleri hedef aldı, saldırıların arkasında APT43 şüphesi

Trellix tarafından yayımlanan rapora göre, devlet destekli olduğu değerlendirilen bir casusluk kampanyası Güney Kore’deki yabancı elçilikleri hedef alıyor. Kampanyada XenoRAT zararlı yazılımı, sahte diplomatik e-postalarla dağıtılıyor.

Çok aşamalı saldırılar
Saldırılar Mart ayında başladı ve halen devam ediyor. İlk olarak Orta Avrupa’daki bir elçilik hedef alınırken, Mayıs ayında Batı Avrupa elçiliklerine sahte toplantı davetleri gönderildi. Haziran ve Temmuz aylarında ise ABD–Kore askeri iş birliği temalı oltalama e-postaları öne çıktı.

E-postalar, diplomat kimliğine bürünerek sahte toplantı davetleri, resmi yazılar ve etkinlik çağrıları şeklinde hazırlandı. İçerikler çok dilli olarak Korece, İngilizce, Fransızca, Arapça, Farsça ve Rusça yazıldı ve çoğu zaman gerçek diplomatik etkinliklerle eşleştirildi.

Zararlı yazılım dağıtımı
Saldırganlar, Dropbox, Google Drive ve Daum gibi servislerde barındırılan parola korumalı ZIP dosyaları kullandı. Dosyalarda PDF gibi görünen LNK dosyaları yer aldı. Bu dosyalar çalıştırıldığında gizlenmiş PowerShell komutları devreye girerek GitHub veya Dropbox’tan XenoRAT yükünü indiriyor ve sistemde kalıcılık sağlıyor.

XenoRAT, tuş kaydı alma, ekran görüntüsü alma, kamera ve mikrofon erişimi, dosya transferi ve uzaktan komut yürütme gibi özelliklere sahip. Bellekte doğrudan yüklenmesi ve Confuser Core ile gizlenmesi sayesinde tespit edilmesi zorlaşıyor.

Kimin arkasında olduğu tartışılıyor
Saldırılarda kullanılan altyapı ve teknikler, Kuzey Kore bağlantılı Kimsuky (APT43) grubunu işaret ediyor. Ancak saldırıların zamanlaması ve tatil dönemlerindeki duraksamalar Çin takvimine uyum gösteriyor. Bu nedenle Trellix, kampanyayı APT43’e “orta düzey güvenle” atfederek Çin desteği ihtimalini de göz ardı etmiyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI