Nöbetçi Eczaneler
Kuzey Kore ile bağlantılı BlueNoroff isimli siber tehdit grubu, kripto para sektöründe çalışanları hedef almak amacıyla yeni bir zararlı yazılım kampanyası başlattı. Siber güvenlik şirketi SentinelOne tarafından “Gizli Risk” olarak adlandırılan bu kampanyanın, Apple’ın macOS işletim sistemine yönelik çok aşamalı bir saldırı mekanizmasına sahip olduğu belirtildi. BlueNoroff grubu, daha önce RustBucket, KANDYKORN, ObjCShellz ve RustDoor gibi zararlı yazılım aileleriyle de ilişkilendirilmişti.
Saldırı kampanyasında, kripto paralarla ilgili sahte haber başlıkları içeren e-postalar ve PDF belgeleri kullanılarak, kurbanların cihazlarına zararlı yazılımın yüklenmesi sağlanıyor. Araştırmacılar Raffaele Sabato, Phil Stokes ve Tom Hegel’in açıklamalarına göre, bu kampanyanın Temmuz 2024 gibi erken bir tarihte başladığı düşünülüyor. Saldırının, çalışanları “boş pozisyon” veya “yatırım fırsatı” gibi sahte vaatlerle kandırarak güven kazanmak için uzun süre boyunca takip ettiği de bildirildi.
Ekim 2024’te bir kripto para şirketine yönelik e-posta phishing saldırısı tespit eden SentinelOne, sahte bir PDF dosyası gibi görünen zararlı bir uygulamanın, Delphi Digital isimli sahte bir site üzerinden indirildiğini açıkladı. “Bitcoin Fiyatındaki Yeni Artışın Gizli Riskleri.app” adıyla yayılan bu dosyanın, Apple geliştirici kimliğiyle imzalanmış ve Apple tarafından onaylanmış olduğu belirtildi. Ancak Apple, imzayı sonrasında iptal etti.
Bu uygulama, kurban cihazda çalıştırıldığında, Google Drive’dan sahte bir PDF dosyası indirip açarken arka planda ikinci bir aşama olarak bir uzaktan erişim arka kapısı kuruyor. Ayrıca, BlueNoroff grubu bu saldırıda, macOS 13 Ventura güncellemesinde sunulan arka plan bildirimleri özelliğinden kaçınmak için “zshenv” yapılandırma dosyasını kötüye kullanarak yeni bir kalıcılık yöntemi geliştirdi.
Tehdit grubu ayrıca, saldırılarında meşru bir görünüm kazandırmak amacıyla Namecheap, Quickpacket ve Routerhosting gibi çeşitli barındırma hizmetlerini kullanarak kripto para, Web3 ve yatırım gibi temalarla sahte altyapılar kuruyor. Ağustos 2024’te Kandji tarafından da benzer bir saldırı tespit edilmiş, bu saldırıda “Bitcoin Fiyat Düşüşünün Risk Faktörleri.app” isimli macOS uygulaması kullanılmıştı.
Saldırganların taktik değiştirip değiştirmediği veya bunun raporlamalara tepki olarak yapılıp yapılmadığı henüz net değil. Ancak araştırmacı Stokes, Kuzey Koreli aktörlerin yaratıcı ve uyumlu olduklarını ve faaliyetleri hakkında yapılan raporları dikkate aldıklarını belirtti.
Bu kampanya, Kuzey Kore’nin Batı’daki şirketlerde iş başvurusunda bulunarak veya sahte işe alım süreçleri yürüterek zararlı yazılım bulaştırmaya çalıştığı diğer operasyonlarla paralellik gösteriyor. Son olarak, Wagemole ve Contagious Interview isimli iki operasyonun da Lazarus Grubu’na ait olduğu ve dünya genelindeki bağımsız geliştiricileri hedef aldığı belirtildi.
Son aylarda Kuzey Koreli siber aktörlerin, kripto para sektörü başta olmak üzere çeşitli sektörlerdeki hedeflerine karşı geniş bir siber saldırı kampanyası yürüttükleri gözlemleniyor. SentinelOne’a göre, bu saldırılar birçok çalışanı yanıltarak zararlı yazılım indirtmekte ve kripto para çalma girişiminde bulunmakta başarılı oluyor.
CUMHA – CUMHUR HABER AJANSI