Kuzey Kore’nin Siber Tehditleri: BeaverTail ve InvisibleFerret
Kuzey Kore ile bağlantılı tehdit aktörleri, son zamanlarda ClickFix tarzı sahtekarlıkları kullanarak bilinen bir zararlı yazılım olan BeaverTail ve InvisibleFerret‘i dağıttıkları gözlemlendi. GitLab Tehdit İstihbarat araştırmacısı Oliver Smith’in yayınladığı raporda, bu tehdit aktörlerinin, yazılım geliştirme rolü yerine kripto para ve perakende sektöründeki pazarlama ile ticaret pozisyonlarını hedef aldıkları belirtiliyor.
Palo Alto Ağları tarafından 2023 yılının sonlarına doğru açığa çıkarılan bu zararlı yazılımlar, Kuzey Koreli operatifler tarafından Contagious Interview (ya da Gwisin Gang) adı verilen uzun süredir devam eden bir kampanya kapsamında dağıtılmaktadır. Bu kampanya çerçevesinde zararlı yazılım, iş değerlendirmesi bahanesiyle yazılım geliştiricilere ulaştırılmaktadır. Lazarus grubunun alt gruplarından biri olarak kabul edilen bu yapı, en az Aralık 2022’den beri etkinlik göstermektedir.
BeaverTail ve InvisibleFerret’in Dağıtım Yöntemleri
Zaman içerisinde BeaverTail, sahte npm paketleri ve FCCCall gibi dolandırıcılık videokonferans uygulamaları aracılığıyla da yayılmıştır. JavaScript ile yazılan bu zararlı yazılım, bir bilgi çalar ve Python tabanlı bir arka kapı olan InvisibleFerret için bir indirici görevi görmektedir.
Kampanyanın önemli bir evrimi, ClickFix sosyal mühendislik taktiği kullanarak GolangGhost, PylangGhost ve FlexibleFerret gibi zararlı yazılımları dağıtmasıdır. 2025 yılının Mayıs ayı sonunda gözlemlenen en son saldırı dalgası, ClickFix kullanarak BeaverTail’i dağıttığı için dikkat çekicidir. Daha önce kullanılan GolangGhost veya FlexibleFerret yerine, Windows, macOS ve Linux sistemleri için pkg ve PyInstaller gibi araçlarla üretilmiş bir derlenmiş biçimle zararlı yazılım hedef kitleye ulaştırılmıştır.
Sahte işe alım ve Malware Dağıtımı
Vercel kullanılarak oluşturulmuş sahte bir işe alım platformu, zararlı yazılımın dağıtım vektörü olarak hizmet vermektedir. Tehdit aktörleri, hem Web3 organizasyonlarında kripto para ticareti, satış ve pazarlama rollerini ilan etmekte hem de hedeflerini bir Web3 şirketine yatırım yapmaları konusunda yönlendirmektedir.
Kullanıcılar bu sahte siteye girdiklerinde, kamuya açık IP adresleri kaydedilmekte ve kendileriyle ilgili bir video değerlendirmesi yapmaları istenmektedir. Bu aşamada, var olmayan bir mikrofon problemi ile ilgili sahte bir teknik hata mesajı gösterilmekte ve kullanıcıdan belirli bir işletim sistemine özgü komut girmesi istenmektedir. Bu, insanların BeaverTail‘in daha hafif bir versiyonunu yüklemeye yönlendirilmesine neden olmaktadır.
BeaverTail’ın Yeni Özellikleri ve Saldırı Stratejisi
Bu kampanya ile bağlantılı olarak, BeaverTail versiyonunun basitleştirilmiş bir bilgi çalma rutini içerdiği ve daha az tarayıcı uzantısını hedef aldığı kaydedilmiştir. GitLab, bu versiyonun yalnızca sekiz tarayıcı uzantısını hedeflediğini belirtmiştir. Önceki diğer BeaverTail versiyonlarında hedeflenen uzantı sayısı 22 iken, bu versiyon daha az karmaşık bir yapıdadır.
Ayrıca, BeaverTail’ın Windows versiyonunun zararlı yazılım ile beraber gelen şifre korumalı bir arşivden Python bağımlılıklarını yüklediği tespit edilmiştir. Bu teknik, zararlı yazılımların dağıtımında sıkça kullanılan bir yöntemdir ve ilk defa BeaverTail ile bağlantılı olarak kullanılması, tehdit aktörlerinin saldırı zincirlerini aktif bir şekilde geliştirip rafine ettiğini göstermektedir.
Kuzey Kore Hacking Gruplarının Taktik Değişiklikleri
Kuzey Koreli hackerlar, siber istihbarat toplamaya yönelik uzun bir geçmişe sahiptir. 2021’de Google ve Microsoft, Pyongyang destekli hackerların, güvenlik araştırmacılarını hedef aldığını açıklamışlardı. Gelişmeler gösteriyor ki, Kuzey Kore’ye bağlı Kimsuky hacking grubu, GitHub repository’lerini kullanarak stealer zararlı yazılımlarını dağıtmakta ve veri sızdırmak için yeni yöntemler geliştirmektedir.
Ayrıca, Kimsuky grubu tarafından OpenAI ChatGPT kullanarak sahte asker kimlik kartları oluşturulması üzerine kurulu bir diğer kampanya tespit edilmiştir. Bu kampanya, Güney Kore’deki savunma ile bağlantılı kişilere ve Kuzey Kore ile ilgili bireylere yönelik bir spear-phishing saldırısını içermektedir.
Siber Tehditlere Karşı Alınabilecek Önlemler
Kullanıcıların sistemlerini korumak için, şüpheli bağlantılara tıklamaktan kaçınmaları, güncellemeleri düzenli olarak kontrol etmeleri ve güçlü bir siber güvenlik yazılımı kullanmaları önemlidir. Ayrıca, bilinen ve güvenilir kaynaktan gelen yazılımların kullanılmasına dikkat edilmesi gerekmektedir. Siber güvenlik alanındaki bu tür tehditler, hem bireyler hem de işletmeler için büyük riskler barındırdığından, sürekli bir farkındalık ve önlem alınması şarttır.
