Tehdit Aktörleri ve Kullanım Alanları
Son dönemde, Kuzey Kore’ye bağlı olduğu belirtilen UNC2970 adı verilen bir siber tehdit aktörünün, Google’ın generatif yapay zeka modeli Gemini’yi kullanarak hedefleri üzerinde keşif faaliyetleri yürüttüğü ortaya çıktı. Farklı hacker grupları, bu aracı siber saldırı yaşam döngüsünün çeşitli aşamalarını hızlandırmak için silahlandırarak bilgi operasyonları yürütüyor ve model çıkarma saldırıları gerçekleştiriyor.
Saldırı Nasıl Çalışıyor?
Google Tehdit İstihbarat Grubu (GTIG), bu grubun Gemini’yi kullanarak açık kaynak bilgileri (OSINT) harmanlayarak yüksek değerli hedeflerin profillerini çıkardığını ve kampanya planlamasına destek sağladığını bildirdi. Bu saldırganların hedef analizi, büyük siber güvenlik ve savunma şirketleri hakkında bilgi arayışını ve belirli teknik iş rolleri ile maaş bilgilerini haritalamayı içeriyor.
Etkilenen Sistemler
UNC2970, siber güvenlik ve savunma sektörlerini hedef alan uzun süreli Operation Dream Job adlı bir kampanya ile tanınıyor. Hedef profilleme sürecinde, aşağıdaki hacker grupları da Gemini’yi kendi çalışmalarında kullandığı bildirilmiştir:
- UNC6418 (Tanımsız), hassas hesap bilgileri ve e-posta adreslerini araştırmak için hedefli istihbarat toplama yapmakta.
- Temp.HEX veya Mustang Panda (Çin), belirli bireyler hakkında dosya hazırlayıp, farklı ülkelerdeki ayrılıkçı örgütlere dair operasyonel ve yapısal verileri toplamaktadır.
- APT31 veya Judgement Panda (Çin), güvenlik araştırmacısı olduğunu iddia ederek güvenlik zafiyetlerini analiz etmekte ve hedefli test planları oluşturmayı otomatikleştirmektedir.
- APT41 (Çin), açık kaynak araçlarının README.md sayfalarından açıklama çıkarmakta ve exploit kodlarını hata ayıklamaktadır.
- UNC795 (Çin), kodlarını hata ayıklama, araştırma yapma ve PHP web sunucuları için web shell ve tarayıcılar geliştirme üzerine çalışmaktadır.
- APT42 (İran), hedefleri ile etkileşim oluşturacak kişilikler oluşturarak sosyal mühendislik faaliyetlerini kolaylaştırmakta, ayrıca Python tabanlı Google Maps tarayıcı ve Rust ile SIM kart yönetim sistemi geliştirmektedir.
Tehdit Unsurları ve Yeni Saldırı Araçları
Google, Gemini’nin API’sini kullanarak çeşitli işlevlerin outsource edilmesini sağlayan bir malware olan HONESTCUE tespit etti. Ayrıca, Lovable AI kullanarak oluşturulan ve kimlik avı amaçlı kullanılan COINBAIT adlı bir phishing kitinin de faaliyetlerinden haberdar olundu. COINBAIT ile ilgili bazı faaliyetler, “finansal motivasyonlu” bir tehdit klusterine, UNC5356, atfedilmiştir.
Çözüm ve Korunma
HONESTCUE, Google Gemini API’si aracılığıyla C# kaynak kodu alarak çalışmaktadır. Bu, sisteme zarar veren ikinci aşama işlevselliğini indirmek ve yürütmek için kullanılan bir çerçeve işlevi görmektedir. Bu tür tehditlere karşı korunmak için aşağıdaki adımlar önemlidir:
- Sistemlerinizi güncel tutun: Yazılım güncellemeleri uygulanmalı ve güvenlik yamaları eksiksiz bir şekilde yapılmalıdır.
- Güçlü parola politikaları oluşturun: Zayıf parolalar, tehdit aktörleri için kolay hedefler oluşturmaktadır.
- Port kapatın: Gereksiz portları kapatmak, siber saldırganların sisteminize erişim sağlamasını zorlaştırır.
- İzleme ve loglama sistemleri kurun: Anomalilerin tespit edilmesine yardımcı olabilir.
Sonuç
Siber türlü tehditlerle başa çıkabilmek için kuruluşların proaktif önlemler alması gerekmektedir. Yazılımlarınızı ve sistemlerinizi sürekli güncel tutmak, güçlü güvenlik politikaları uygulamak ve olası tehditlere karşı hazırlıklı olmak kritik öneme sahiptir. Tehditleri göz ardı etmeden, güvenlik uzmanları ile iş birliği yaparak güvenlik önlemlerinizi artırmalısınız.
