ScarCruft'un Yeni Saldırı Vektörleri: Zoho WorkDrive ve Fiziksel Medya İstismarı
Siber güvenlik dünyası, Kuzey Kore bağlantılı bilinen bir tehdit aktörü olan ScarCruft'un (T-800 olarak da bilinir) son derece sofistike ve karmaşık bir saldırı kampanyasıyla yeniden gündeme geldi. Zscaler ThreatLabz tarafından 'Ruby Jumper' olarak adlandırılan bu yeni operasyon, özellikle yüksek güvenlikli ortamlarda bile sızma yeteneğini artırmak için ticari bulut hizmetlerini ve geleneksel fiziksel medya yöntemlerini birleştirmesiyle dikkat çekiyor. Bu durum, siber savunma stratejilerimizin ne kadar çok katmanlı olması gerektiğinin altını çiziyor.
Zoho WorkDrive Üzerinden Komuta ve Kontrol (C2)
ScarCruft'un en çarpıcı yeniliği, Command and Control (C2) iletişimleri için Zoho WorkDrive platformunu kullanmasıdır. Geleneksel olarak, C2 trafiği belirli IP adresleri veya bilinen kötü amaçlı sunucular üzerinden tespit edilir. Ancak, ScarCruft'un arka kapısı, meşru bir bulut depolama hizmeti olan Zoho WorkDrive'ı kullanarak trafiği gizlemeyi başarıyor. Bu yaklaşım, güvenlik duvarı ve ağ izleme sistemlerinin bu trafiği normal iş akışı olarak algılamasına neden olarak tespit edilme olasılığını önemli ölçüde azaltıyor.
- Gizlenme Avantajı: Zoho WorkDrive'ın meşruiyeti, zararlı trafiğin beyaz listeye alınmış bir hizmet üzerinden akmasını sağlıyor.
- Yük Çekme: Arka kapı, C2 sunucusu olarak WorkDrive'ı kullanarak daha fazla zararlı yük (payload) çekmek ve komut almak için kullanılıyor.
Hava Boşluklu Ağlara USB ile Sızma
Bu kampanyanın bir diğer kritik bileşeni ise, fiziksel olarak izole edilmiş, yani 'hava boşluklu' (air-gapped) ağlara sızma yeteneğidir. Bu tür ağlar, doğrudan internet veya diğer ağlardan fiziksel olarak ayrıldığı için geleneksel ağ tabanlı saldırılara karşı bağışıklardır. ScarCruft, bu izolasyonu aşmak için çıkarılabilir medyayı (USB sürücüler) bir köprü olarak kullanıyor.
Zscaler araştırmacıları, bir implantın, enfekte olmuş bir USB sürücüsü aracılığıyla komutları iletebildiğini ve bu sayede hava boşluklu sistemlere erişim sağladığını tespit etti. Bu, saldırganların fiziksel erişim sağlayan bir vektörü (örneğin, bir çalışanın enfekte bir cihazı ağa bağlaması) başarılı bir şekilde manipüle ettiğini gösteriyor.
BT Güvenliği İçin Çıkarımlar
Ruby Jumper kampanyası, modern tehdit aktörlerinin sadece teknik zafiyetleri değil, aynı zamanda kurumsal araçların ve fiziksel güvenlik protokollerinin zayıf noktalarını da hedef aldığını kanıtlamaktadır. Bir IT firması olarak, bu tür hibrit saldırılara karşı savunma stratejilerimizi güncellemeliyiz:
- Bulut Trafik Analizi: Zoho, Microsoft 365 gibi meşru bulut hizmetleri üzerinden gelen trafiğin davranışsal analizini güçlendirmek.
- Uç Nokta Kontrolü: Çıkarılabilir medyaların kullanımına ilişkin katı politikalar uygulamak ve bu cihazlardan gelen yürütülebilir içeriği otomatik olarak karantinaya almak.
- Hava Boşluğu Denetimi: Hava boşluklu ağlara bağlanan tüm cihazların ve personelin düzenli olarak denetlenmesi ve eğitim verilmesi.
ScarCruft'un bu yeni yöntemleri, siber güvenlikte sürekli bir adaptasyon gerekliliğini bir kez daha vurgulamaktadır. Proaktif izleme ve çok katmanlı savunma mimarileri, bu tür karmaşık tehditlere karşı en iyi korumadır.
