Basın Bülteni- Kaspersky, BlueNoroff APT’nin Web3 ve kripto şirketlerini hedef alan saldırılarını duyurdu

Tayland'da düzenlenen Security Analyst Summit etkinliğinde, Kaspersky Küresel Araştırma
ve Analiz Ekibi (GReAT), BlueNoroff APT grubunun son faaliyetlerini ortaya
koydu. GhostCall ve GhostHire adlı iki hedefli kötü amaçlı kampanya üzerinden
yürütülen bu operasyonlar, Nisan 2025'ten bu yana Hindistan, Türkiye, Avustralya
başta olmak üzere Avrupa ve Asya'daki çeşitli ülkelerdeki Web3 ve kripto
para kuruluşlarını hedef alıyor.

BlueNoroff, kötü şöhretli Lazarus grubunun bir alt birimi olarak, küresel kripto
para ekosistemini hedef alan mali amaçlı SnatchCrypto operasyonunu genişletmeyi
sürdürüyor. Yeni ortaya çıkarılan GhostCall ve GhostHire kampanyaları ise, blok
zinciri geliştiricileri ile üst düzey yöneticileri hedef almak amacıyla gelişmiş
sızma yöntemleri ve özel olarak tasarlanmış kötü amaçlı yazılımlar kullanıyor.
Bu saldırılar hem macOS hem Windows sistemlerini etkiliyor ve tek bir komuta
ve kontrol altyapısı üzerinden yönetiliyor.

GhostCall kampanyası, macOS cihazlarını hedef alıyor ve oldukça sofistike bir sosyal
mühendislik yaklaşımıyla başlıyor. Saldırganlar, Telegram üzerinden girişim
sermayedarlarını taklit ederek - hatta bazı durumlarda gerçek girişimcilerin
ve startup kurucularının ele geçirilmiş hesaplarını kullanarak - yatırım veya ortaklık
teklifleri sunuyor. Kurbanlar, Zoom veya Microsoft Teams'i taklit eden
sahte yatırım toplantılarına davet ediliyor. Görüşme sırasında ses sorununu gidermek
için istemcilerini güncellemeleri isteniyor, bu eylem kötü amaçlı bir komut
dosyasının indirilmesine ve cihazın enfekte olmasına yol açıyor.

Kaspersky GReAT güvenlik araştırmacısı Sojun Ryu, kampanyaya ilişkin şu değerlendirmede
bulundu: Bu kampanya, dikkatlice planlanmış bir aldatma stratejisine dayanıyordu.
Saldırganlar, görüşmelerin gerçek bir toplantı gibi görünmesini sağlamak
için önceki kurbanların video kayıtlarını yeniden oynattı. Bu yöntemle yalnızca
ilk hedefler değil, aynı zamanda tedarik zinciri üzerindeki diğer kurumlar
da tehlikeye atıldı. Toplanan veriler, güven ilişkilerini manipüle etmek ve
daha geniş bir yelpazede kullanıcıyı hedef almak amacıyla yeniden kullanıldı.

Saldırganlar, dördü daha önce hiç görülmemiş olmak üzere yedi çok aşamalı yürütme
zinciri kullandı. Bu zincirler, kripto hırsızlığı, tarayıcı kimlik bilgisi hırsızlığı,
gizli veri çalma ve Telegram kimlik bilgisi çalma gibi özel olarak tasarlanmış
yükler dağıtmak için geliştirildi.

GhostHire kampanyasında ise APT grubu, blok zincir geliştiricilerini işe alım uzmanı
kisvesi altında hedef alıyor. Kurbanlar, bir beceri değerlendirmesi olarak
sunulan ve kötü amaçlı yazılım içeren bir GitHub deposunu indirip çalıştırmaya
ikna ediliyor. GhostHire, altyapısını ve araçlarını GhostCall kampanyasıyla paylaşıyor,
ancak video görüşmeleri kullanmak yerine, sahte işe alım süreçleriyle
doğrudan geliştirici ve mühendislere yöneliyor.

GhostHire kampanyası saldırı akışı
BlueNoroff'un kötü amaçlı yazılım geliştirme sürecini hızlandırmak ve saldırı tekniklerini
geliştirmek için üretken yapay zekadan (Generative AI) yararlandığı
tespit edildi. Saldırganlar, yeni programlama dilleri kullanarak ve ek özellikler
ekleyerek analiz ve tespit süreçlerini daha karmaşık hale getirdi. Bu durum,
grubun operasyonlarını daha geniş ölçekte ve karmaşık bir biçimde yönetmesini
mümkün kılıyor.

Kaspersky GReAT kıdemli güvenlik araştırmacısı Omar Amin ise konuyla ilgili olarak
şu açıklamada bulundu: BlueNoroff'un hedefleme stratejisi artık yalnızca kripto
para veya tarayıcı kimlik bilgisi hırsızlığıyla sınırlı değil. Üretken yapay
zekanın kullanımı, kötü amaçlı yazılım geliştirme sürecini hızlandırarak operasyonel
yükü azaltıyor. Yapay zekâ tabanlı bu yaklaşım, bilgi açıklarını doldurarak
hedeflemeyi daha odaklı hale getiriyor. Ele geçirilen veriler, yapay zekanın
analiz kabiliyetleriyle birleştirildiğinde saldırıların kapsamı genişliyor.
Araştırmamızın, bu tür saldırıların yol açabileceği zararı önlemeye katkı sağlayacağını
umuyoruz.

GhostCall ve GhostHire gibi saldırılardan korunmak isteyen kurumların aşağıdaki
temel güvenlik adımlarını izlemesi öneriliyor:
- Cömert teklifler ve yatırım önerilerine karşı dikkatli olun. Özellikle Telegram,
LinkedIn veya diğer sosyal platformlar üzerinden sizinle iletişime geçen yeni
kişilerin kimliğini mutlaka doğrulayın. Tüm hassas yazışmalarınız için doğrulanmış
ve güvenli kurumsal kanalları kullanın
- Güvendiğiniz bir kişinin hesabının ele geçirilmiş olabileceğini göz önünde bulundurun.
Herhangi bir dosya veya bağlantıyı açmadan önce kimliği alternatif kanallardan
doğrulayın ve her zaman resmi bir alan adı (domain) üzerinde olduğunuzdan
emin olun. Sorunları çözmek için doğrulanmamış komut dosyalarını veya komutları
çalıştırmaktan kaçının.
- Şirketinizi geniş kapsamlı tehditlere karşı korumak için, her ölçekten ve sektörden
kuruluşlara gerçek zamanlı koruma, tehdit görünürlüğü, araştırma ve müdahale
(EDR ve XDR) yetenekleri sunan Kaspersky Next ürün serisini kullanın. Mevcut
ihtiyaçlarınıza ve kaynaklarınıza bağlı olarak en uygun ürün seviyesini seçebilir
ve siber güvenlik gereksinimleriniz değiştikçe kolayca başka bir seviyeye
geçiş yapabilirsiniz.
- Kaspersky'nin yönetilen güvenlik hizmetlerini benimseyin, örneğin Compromise Assessment,
Managed Detection and Response (MDR) ve Incident Response çözümleri.
Bu hizmetler, tehdit tespitinden sürekli koruma ve düzeltmeye kadar tüm olay
yönetimi döngüsünü kapsar. Böylece atlatma teknikleri kullanan siber saldırılara
karşı korunabilir, olayları derinlemesine inceleyebilir ve siber güvenlik personeli
eksikliği durumunda ek uzmanlık desteği alabilirsiniz.
- Bilgi güvenliği (InfoSec) uzmanlarınıza, kuruluşunuzu hedef alan siber tehditler
hakkında derinlemesine görünürlük sağlayın.Kaspersky Threat Intelligence'ın
en son sürümü, olay yönetimi döngüsünün tamamında zengin ve anlamlı bağlam sunar,
siber risklerin zamanında tespit edilmesine yardımcı olur.


-iDeal Haber Merkezi-
- twitter.com/iDealDataHaber // www.idealdata.com.tr -