Nort Korealı Hackerdan Yeni Tehditler: NimDoor ve Kimsuky Stratejileri
Son yıllarda siber güvenlik alanında yaşanan gelişmeler, tehdit aktörlerinin sürekli evrildiğini gösteriyor. Özellikle Kuzey Kore ile bağlantılı siber saldırganlar, hedeflerini Web3 ve kriptopara dahil olmak üzere yeni teknolojik alanlara genişletiyor. Kendilerine özgü yöntemler ve yazılım dilleri kullanarak, siber saldırılarını daha etkili hale getiriyorlar. Bu yazıda, en son gelişmeler ve bu tehditlerin arkasındaki stratejiler üzerinde duracağız.
NimDoor: Yeni Zararlı Yazılımın Yükselişi
SentinelOne isimli siber güvenlik şirketi, Kuzey Koreli tehdit aktörleri tarafından geliştirilen NimDoor isimli zararlı yazılımı takip etmeye başladı. Nim programlama dilinde yazılan bu zararlı yazılım, özellikle macOS kullanıcılarını hedef alıyor. Araştırmalara göre, bu yazılımın kendine has persistans mekanizmaları var. Yani, sistem yeniden başlatıldığında veya zararlı yazılım kapatıldığında bile kendini tekrar kurabiliyor.
İlk aşamada, hedefler sosyal mühendislik taktikleriyle tuzağa düşürülüyor. Örneğin, Telegram üzerinden yapılan görüşmelerle, hedefe Zoom toplantısı ayarlamak için sahte linkler gönderiliyor. Hedef, bir güncel Zoom SDK güncellemesi yapmak üzere yönlendiriliyor. Bu süreç, AppleScript kullanılarak yapılan bir sahtekarlıkla ikinci aşama zararlı yazılımın indirilmesine yol açıyor.
C++ ile Yükselen Tehditler
Zararlı yazılımın kalbinde, C++ ile yazılmış bir yükleyici olan InjectWithDyldArm64 yer alıyor. Bu araç, iki gömülü ikili dosyayı şifreli halde çözerek çalıştırıyor. Trojan1_arm64 adındaki ikinci bileşen de, web tarayıcılarından kimlik bilgilerini çalmak için tasarlanmış. Chrome, Firefox, ve daha birçok tarayıcıyı hedefliyor. Ayrıca Telegram uygulamasından da veri çalıyor.
Nim tabanlı başka bir ikili dosya ise CoreKitAgent‘tir. Bu yazılım, zararlı sürecin sonlandırılmasını engelleyerek, süreçlerin tekrardan başlamasını sağlıyor. Bu tür bir davranış, kullanıcı tarafından bilinçli bir şekilde yapılan zararlı yazılım kapanışının dahi devre dışı kalmasını sağlıyor.
Kimsuky’nin Devam Eden Saldırıları
Kuzey Koreli bir diğer tehdit grubu olan Kimsuky, sosyal mühendislik taktiklerinden vazgeçmeyerek yeni saldırılar gerçekleştiriyor. Genians adlı Güney Kore siber güvenlik şirketi, Kimsuky’nin ClickFix adını verdiği taktiği güncelleyerek yeni uzaktan erişim araçları dağıtıldığını ortaya çıkardı. Bu saldırılar, özellikle ulusal güvenlik uzmanlarını hedef alıyor ve örneğin, sahte iş teklifleriyle kullanıcıları zararlı bağlantılarla tuzağa düşürmeye çalışıyor.
Saldırılar, genellikle özel belgeler için yapılan sahte e-posta istekleriyle başlıyor. Amaç, kurbanları zararlı dosyaların açılmasına yönlendirmek. Bu süreçte PowerShell komutları ve sahte belge dosyaları yoluyla hedefin bilgileri çalınıyor. Kullanıcılar, sahte Google Dokümanlar dosyasıyla meşgulken, arka planda zararlı yazılım çalıştırılıyor.
Sonuç Çizelgeleriyle Kımusky’nin Stratejileri
Kuzey Koreli grupların operasyonları karmaşık bir yapı sergiliyor. Kimsuky’nin son dönemlerde geliştirdiği birçok yeni hata ve taktik, siber saldırganların ne kadar esnek ve yaratıcı olduğunu gösteriyor. Hedefli saldırılar, sahte e-posta ve sosyalleşme ile başlarken, zararlı yazılımlar sürekli evrim geçiriyor.
Ayrıca, siber saldırganların kullandığı GitHub gibi platformlar, açık kaynak yazılımları geliştirip dağıtarak saldırıların daha geniş kitlelere ulaşmasını sağlıyor. Bu durum, siber güvenlik açısından önemli bir risk faktörü oluşturuyor.
Sonuç olarak, Kuzey Koreli tehdit aktörlerinin en son teknolojileri kullanarak ne kadar tehlikeli hale geldiğini gözler önüne seren bu durum, bireylerin ve kurumların siber güvenlik önlemlerini yeniden gözden geçirmesi gerektiğini ortaya koyuyor. Kullanıcıların dikkatli olması ve bilinçli bir şekilde hareket etmesi, bu tür saldırıların önlenmesi açısından kritik öneme sahip.
