Kuzey Kore bağlantılı ScarCruft’tan oyun platformuna siber saldırı

Kuzey Kore bağlantılı ScarCruft’tan oyun platformuna siber saldırı   BRATİSLAVA (MA) – Siber güvenlik şirketi ESET, Kuzey Kore bağlantılı olduğu değerlendirilen APT grubu ScarCruft tarafından gerçekleştirilen yeni bir tedarik zinciri saldırısını ortaya çıkardı. ESET araştırmacılarının yayımladığı bulgulara göre saldırı, Çin’in Yanbian bölgesindeki etnik Korelilere yönelik bir oyun platformunu hedef aldı. Grup, platformun hem Windows hem de Android bileşenlerini ele geçirerek “BirdCall” adı verilen arka kapı yazılımını sisteme entegre etti. Araştırmada, Android sürümünün kişi listeleri, SMS içerikleri, arama kayıtları, medya dosyaları ve özel anahtarları toplayabildiği, ayrıca ekran görüntüsü alabildiği ve ortam seslerini kaydedebildiği belirtildi. ESET, Android BirdCall yazılımının aylar boyunca geliştirildiğini ve en az yedi farklı sürümünün kullanıldığını açıkladı. Saldırının hedefinde, Kuzey Kore’den kaçan mülteciler veya rejim tarafından ilgi çekici görülen kişilerin bulunduğu değerlendiriliyor. Yanbian bölgesinin, Kuzey Koreli kaçaklar için önemli geçiş noktalarından biri olması nedeniyle saldırının doğrudan bu topluluğa yönelik planlandığı ifade edildi. Platformun Windows istemcisinin ise kötü amaçlı bir güncelleme aracılığıyla ele geçirildiği ve bu süreçte RokRAT isimli başka bir arka kapının da devreye alındığı kaydedildi. ESET araştırmacısı Filip Jurčacko, kullanıcıların trojan bulaştırılmış oyunları doğrudan internet sitesi üzerinden indirerek cihazlarına yüklediğini belirterek, saldırının büyük olasılıkla 2024 yılının sonlarında başladığını söyledi. APT37 veya Reaper isimleriyle de bilinen ScarCruft grubunun en az 2012 yılından bu yana faaliyet gösterdiği ve özellikle Güney Kore başta olmak üzere Asya’daki hükümet kurumları, askeri yapılar ve Kuzey Kore ile bağlantılı hedeflere yönelik casusluk faaliyetleri yürüttüğü biliniyor.