Son dönemde, Kuzey Kore bağlantılı APT37 (ScarCruft) adlı tehdit aktörünün, Microsoft Hesap güvenliği uyarısı gibi görünen hedefli kimlik avı e-postaları aracılığıyla NarwhalRAT adlı kötü amaçlı yazılımı yaydığı ortaya çıktı. Bu saldırı dalgası, özellikle kurumsal ve bireysel Microsoft hesabı kullanıcılarını hedef alıyor.
Saldırı Zinciri ve Teknik Detaylar
Saldırganlar, alıcının hesabının ele geçirildiği ve tek kullanımlık şifrelerin (OTP) kötüye kullanıldığı yönünde sahte bir uyarı mesajı gönderiyor. E-posta içeriğinde, ekli dosyaya bakılması gerektiği belirtiliyor. Ancak ek, standart bir belge değil; ZIP formatında ve içinde zararlı bir LNK (kısayol) dosyası barındırıyor.
LNK dosyasına tıklandığında, çok aşamalı bir enfeksiyon süreci başlıyor. Bu süreçte, ara betikler yardımıyla NarwhalRAT indiriliyor, aynı zamanda resmi web sitesinden meşru Python çalıştırılabilir dosyası ile bir Windows güvenlik katalog (CAT) dosyası temin ediliyor. Kalıcılık, planlanmış bir görevle sağlanıyor; bu görev, CAT dosyasını kullanarak ana zararlıyı bellekte çalıştırıyor ve diskte iz bırakmıyor.
Python temelli NarwhalRAT, tuş kaydı, ekran görüntüsü alma (yüksek çözünürlük desteğiyle), ortam sesini kaydetme, dizin içeriklerini yükleme, aktif pencere bilgisi toplama, USB verisi çekme gibi yeteneklere sahip. Ayrıca, komut-komuta (C2) sunucularıyla etkileşim kurarak uzaktan komut alabiliyor ve C2 adreslerini değiştirebiliyor.
Hedefler ve Altyapı
Malware, toplanan verileri depolamak için “%APPDATA%\naverwhale” adlı gizli bir dizin kullanıyor. Bu isim, Güney Koreli Naver Corporation tarafından geliştirilen Naver Whale tarayıcısına benzetilerek tespit edilmekten kaçınmayı amaçlıyor. Bu taktik, Kuzey Kore grubunun önceki RokRAT varyantlarından farklı bir yönelim gösteriyor.
İletişim altyapısı açısından, ana C2 sunucuları olarak Kore merkezli ‘daehoat[.]com’ ve ‘novel21[.]co.kr’ alan adları kullanılıyor. Ayrıca, meşru bir bulut depolama servisi olan pCloud’un API’si kötüye kullanılarak ikinci bir C2 kanalı oluşturulmuş. Kod içinde pCloud’a özgü ‘folderid’ ve ‘auth’ parametrelerini işleyen fonksiyonlar bulunması, bu yöntemle veri aktarımının hedeflendiğini gösteriyor.
Önceki Kampanyalarla Bağlantılar
Benzer Python tabanlı saldırılar, ScarCruft tarafından daha önce de yürütülmüştü. Bu kampanyalarda da hedefler, etkinlik davetleri veya bilet onayları gibi cazip sosyal mühendislik tuzaklarıyla ZIP dosyalarını açmaya yönlendirilmişti. LNK dosyaları aracılığıyla da bir komut dosyası indiriliyor, ardından Python yürütülebilirleri ve CAT dosyalarıyla zararlı yük bellekte çalıştırılıyordu.
İlginç bir şekilde, farklı saldırı zincirlerinde kalıcılık için oluşturulan planlanmış görev isimleri benzer şemalarda oluşturuluyor. Örneğin, NarwhalRAT için ‘MicrosoftUserInterfacePicturesUpdateTaskMachine’ adı seçilirken, başka bir zincirde ‘MicrosoftMusicLibrariesPackageTaskMachine’ kullanılmış.
Güvenlik Ekipleri İçin Öneriler
Bu saldırı zincirine karşı savunma için, öncelikle e-posta güvenliği katmanlarının güçlendirilmesi gerekiyor. Şüpheli ekler, ZIP ve LNK dosyalarına karşı dikkatli olunmalı, bu tür dosyaların açılması öncesinde mutlaka sandbox analizleri yapılmalı. EDR sistemlerine, Python tabanlı zararlıların tespiti için imza ve davranış bazlı kurallar eklenmeli.
Planlanmış görevler ve beklenmeyen CAT dosyalarının oluşturulup oluşturulmadığı düzenli olarak kontrol edilmeli. Ağ segmentasyonu ile C2 sunucularına doğrudan erişim engellenmeli, pCloud gibi meşru bulut hizmetleri üzerinden anormal veri trafiği izlenmeli. Çok faktörlü kimlik doğrulama (MFA) zorunlu kılınarak, hesap güvenliği artırılmalı.
Türkiye ve Küresel Etki
Bu tür saldırılar, özellikle Microsoft hesaplarını yoğun kullanan kurumlar ve bireyler için küresel bir tehdit oluşturuyor. Türkiye’de de finans, kamu ve teknoloji sektöründe çalışanların benzer hedefler haline gelmesi muhtemel. Bu nedenle, kurumların e-posta güvenliği, IAM politikaları ve olay müdahale planlarını gözden geçirmeleri tavsiye ediliyor.