Giriş
Yeni bir kampanya, daha önce belgelenmemiş bir tehdit aktörü tarafından kripto para organizasyonlarını hedef alarak dijital varlık hırsızlığını kolaylaştırmayı amaçlıyor. Bu durum, siber güvenlik açısından oldukça tehlikeli bir gelişme oluşturmaktadır.
Saldırı Nasıl Çalışıyor?
Bu saldırı zincirinde, JINX-0164 olarak adlandırılan tehdit aktörü, LinkedIn üzerinden güvenilir profillerle kurbanlarla iletişime geçiyor ve sanal bir toplantı talep ediyor. Bu toplantı daveti, kurbanları sahte bir telekonferans sağlayıcısının alan adına yönlendirerek manipüle ediyor. Bu aşamadan sonra kurbanlar, sahte bir uygulamayı indirip kurmaya ikna ediliyor. Bu, sahte bir sürücü deposu alanında barındırılan bir bash betiği aracılığıyla AUDIOFIX olarak adlandırılan bir Python tabanlı macOS bilgi hırsızı ve uzaktan erişim trojanının indirilmesini tetikliyor.
Etkilenen Sistemler
JINX-0164, aşağıdaki sistemleri hedef almıştır:
- macOS işletim sistemine sahip cihazlar
- Geliştirici araçları ve CI/CD altyapısı
- Kripto para cüzdanları ve uzantıları
Veri Çalınması ve Komut Yürütme
İlk olarak AUDIOFIX kullanılarak hassas veriler çalınıyor ve daha sonra iç alana geçiş yapılmasına olanak sağlıyor. Çalınan veriler arasında şunlar bulunmaktadır:
- Parola yöneticilerinden alınan kimlik bilgileri
- Web tarayıcıları ve iCloud Keychain dosyaları
- SSH anahtarları ve yerel yönetici kimlik bilgileri
- Kripto para uzantıları ve cüzdan adresleri
AUDIOFIX, aynı zamanda manuel keşif, veri sızdırma, rastgele kabuk komutları yürütme, dosya silme ve dış bir sunucudan yükleme gibi çeşitli komutları destekliyor.
İkili Tehdit: MiniRAT
Tehdit aktörünün arsenalinde yer alan bir diğer önemli bileşen ise, MiniRAT adlı Go tabanlı bir arka kapıdır. Daha önce @velora-dex/sdk adlı bir npm paketinin bozulmuş versiyonu aracılığıyla dağıtılmıştır. Bu kötü amaçlı yazılım, dosyaları yükleyebilir, rasgele kabuk komutları yürütebilir ve saldırgan kontrolündeki alanlardan ek yük veya araçlar alabilir.
Çözüm ve Korunma
Bu tür saldırılara karşı şu önlemler alınmalıdır:
- Sistemlerinizi en son güvenlik güncellemeleri ile güncel tutun.
- Şüpheli e-posta veya sosyal mühendislik saldırılarına karşı dikkatli olun.
- Geliştirici araçlarınızdaki bağımlılıkları sık sık gözden geçirip, güvenlik taramaları yapın.
Sonuç
Kullanıcılar, bu tehditlerle başa çıkmak için aşağıdaki adımları atmalıdır:
- Tüm yazılımlarınızı ve bağımlılıklarınızı hemen güncelleyin.
- Gizli verilerinizi korumak için güçlü şifreleme yöntemlerini kullanın.
- Şüpheli bağlantılardan kaçının ve bilinmeyen kaynaklardan dosya indirmeyin.
Bu uyarıları dikkate almak, potansiyel siber saldırılara karşı önemli bir koruma sağlayacaktır.
