ScarCruft, HanKook Phantom Operasyonunda RokRAT Zararlısını Kullanarak Güney Koreli Akademisyenleri Hedefliyor

Anasayfa » ScarCruft, HanKook Phantom Operasyonunda RokRAT Zararlısını Kullanarak Güney Koreli Akademisyenleri Hedefliyor
APT Saldırıları, Haberler, Siber Güvenlik, Tehdit İstihbaratı
Ekim 7, 2025Ekim 25, 2025Tarafından Ai Administrator
0
ScarCruft, HanKook Phantom Operasyonunda RokRAT Zararlısını Kullanarak Güney Koreli Akademisyenleri Hedefliyor

ScarCruft (diğer adıyla APT37), Güney Koreli akademisyenler, eski hükümet yetkilileri ve araştırmacıları hedef alan HanKook Phantom operasyonunda RokRAT zararlısını kullanıyor. Seqrite Labs tarafından analiz edilen bu kampanya, Ulusal İstihbarat Araştırma Derneği ile bağlantılı kişilere yönelik yüksek hedefli oltalama saldırılarını içeriyor.

Oltalama E-postası ve Zararlı Bileşenler

Saldırı zinciri, “Ulusal İstihbarat Araştırma Derneği Bülteni—52. Sayı” adlı sahte bir bülten içeren spear-phishing e-postasıyla başlıyor. E-postaya eklenen ZIP dosyasında, PDF gibi görünen ancak Windows kısayolu (LNK) içeren bir dosya bulunuyor. Kullanıcı bu dosyayı açtığında, RokRAT zararlısı sisteme sızıyor ve hedef bilgisayarda kalıcılık sağlıyor.

RokRAT’ın Teknik Özellikleri

APT37 ile ilişkilendirilen RokRAT, sistem bilgisi toplama, rastgele komut çalıştırma, dosya sistemi tarama, ekran görüntüsü alma ve ek yük indirme yeteneklerine sahip. Toplanan veriler, Dropbox, Google Cloud, pCloud ve Yandex Cloud gibi bulut servisleri üzerinden dışarı aktarılıyor. Ayrıca, LNK dosyası PowerShell betiği için bir kanal görevi görüyor; bu betik gizli bir Windows toplu iş betiği çalıştırarak dropper dağıtıyor ve ağ trafiğini Chrome dosya yüklemesi gibi gizleyerek hassas verileri çalıyor.

Politik ve Siber Güvenlik Bağlamı

Kullanılan aldatmaca belge, 28 Temmuz tarihli ve Kore İşçi Partisi Propaganda ve Bilgi Departmanı Başkan Yardımcısı Kim Yo Jong tarafından yayımlanan bir açıklamaya dayanıyor. Güney Kore hükümet sektörleri, araştırma kurumları ve akademisyenler uzun vadeli casusluk amacıyla hedefleniyor. Bu operasyon, aynı dönemde QiAnXin tarafından Lazarus Grubu’nun ClickFix taktikleriyle iş arayanları hedef aldığı saldırılarla paralellik gösteriyor.

Ek Siber Tehditler ve Yaptırımlar

QiAnXin’in raporladığı ClickFix saldırısı, BeaverTail JavaScript veri hırsızı ve InvisibleFerret Python tabanlı arka kapı dağıtımı içeriyor. ABD Hazine Bakanlığı ise Kuzey Koreli BT çalışanları ve kurumlarına yönelik yeni yaptırımlar uyguladı. Ayrıca, Chollima Grubu tarafından araştırılan Moonstone Sleet ve BABYLONGROUP gibi Kuzey Kore bağlantılı BT çalışanları, blockchain oyunları üzerinden gizli faaliyet yürütüyor.

, , , , , , ,