ScarCruft kapány a játékosok ellen
Az ESET kutatása szerint a ScarCruft (APT37) kampány egy célzott, többplatformos ellátási lánc kompromittáció, amely a dél-koreai felhasználók körében népszerű játékplatformot érintett.
A támadás a terjesztési lánc manipulálása, a Windows környezetben a hivatalos frissítési mechanizmust kompromittálták, a kliens egy módosított DLL-t töltött be, amely loaderként működött, és további komponenseket – köztük a RokRAT backdoor újabb variánsait és a BirdCall implantot – töltött le. Ez a lánc biztosította a perzisztens, távoli hozzáférést és a későbbi adatgyűjtést. A fertőzés több lépcsős, moduláris felépítésű volt, ami APT-szintű műveleti érettséget jelez.
Android oldalon a támadók a platformon terjesztett játékok APK csomagjait manipulálták. Az újracsomagolt alkalmazások funkcionálisan változatlanok maradtak, de tartalmazták a BirdCall mobil implantot, amely így legitim alkalmazásként jutott el a felhasználókhoz. Ez a megközelítés minimalizálta a felhasználói gyanút és növelte a fertőzés tartósságát.
A BirdCall mindkét platformon kiterjedt adatgyűjtési képességekkel rendelkezik. Windows rendszereken billentyűnaplózást, képernyőmentést, fájlgyűjtést és parancsvégrehajtást tesz lehetővé, míg Androidon kontaktlistákhoz, SMS-ekhez, hívásnaplókhoz és környezeti hanghoz fér hozzá. A kommunikáció gyakran legitim felhőszolgáltatásokon keresztül történik, ami csökkenti a hálózati detektálhatóságot.
A kampány célzása egyértelműen regionális és hírszerzési jellegű, a Yanbian térség etnikai koreai közössége, amely stratégiai jelentőséggel bír az észak-koreai hírszerzés számára. Ez arra utal, hogy a művelet nem tömeges kiberbűnözés, hanem célzott információszerzés.
A művelet technikai jelentősége abban áll, hogy nem sérülékenységet használ ki, hanem a szoftverterjesztési bizalmi láncot kompromittálja, így a malware legitim frissítésként vagy alkalmazásként kerül a célpontokhoz. Ez a modell különösen hatékony, mert a fertőzés a felhasználó szempontjából normál működésnek tűnik, miközben teljes körű hozzáférést biztosít a támadónak.
