Kuzey Kore’nin BlueNoroff Hacking Grubu ve Yeni Tehditler
Kuzey Kore merkezli BlueNoroff hacking grubu, son dönemlerde saldırılarında dikkat çeken yeni bir yöntemi benimsedi. Bu grup, şirket yöneticilerinin görüntülerini sahte videolarla birleştirerek Zoom görüşmelerini manipüle ediyor. Hedefleri, çalışanları özel bir kötü amaçlı yazılımı, özellikle macOS cihazlarına yüklemeye ikna etmek.
BlueNoroff’un Geçmişi ve Yöntemleri
BlueNoroff, aynı zamanda Sapphire Sleet veya TA444 olarak da bilinen, kripto para çalıntısı gerçekleştiren sofistike bir tehdit grubudur. Saldırıları, Windows ve Mac için tasarlanmış kötü amaçlı yazılımlar kullanarak, amansız bir şekilde devam etmektedir. Specialisteithen yapılan araştırmalar, bu grubun ne kadar karmaşık ve gelişmiş yöntemler kullandığını ortaya koyuyor.
Huntress araştırmacıları, 11 Haziran 2025 tarihinde, bir partnerin ağı üzerinde potansiyel bir ihlali incelemek üzere görevlendirildi. Bu inceleme, BlueNoroff’un yeni bir saldırısının keşfedilmesiyle sonuçlandı. Saldırının ana hedefinin büyük olasılıkla kripto para çalmak olduğu düşünülüyor. Bu durum, SentinelLabs, Microsoft, Jamf ve Kaspersky gibi güvenlik kuruluşlarının son raporlarıyla da destekleniyor.
Sahte Zoom Toplantıları
Saldırganlar, bir teknoloji şirketinin çalışanıyla Telegram üzerinden iletişim kurarak, profesyonel gibi görünüyorlardı. Bu kişiyle gerçekleştirdikleri görüşme için, bir Calendly bağlantısı gönderildi. Ancak bu bağlantı, aslında saldırganların kontrolünde bulunan sahte bir Zoom alan adıydı.
Eğer bir çalışan, bu sahte toplantıya katılırsa, burada şirketin üst düzey yöneticilerinin derin yapay zeka tarafından üretilmiş videolarını görecekti. Bu durum, toplantının gerçekliği konusunda bir güvenilirlik oluşturuyordu. Toplantı sırasında, mağdurun mikrofonu çalışmadı gibi göründü ve derin yapay zeka görüntüleri, sorunun çözümü için sahte bir Zoom uzantısı indirmeleri gerektiğini önerdi.
Kötü Amaçlı Yazılımın İndirimi ve İşleyişi
Telegram üzerinden verilen bağlantı, mağdurun AppleScript dosyası (zoom_sdk_support.scpt) indirmesine yol açtı. Dosya çalıştırıldığında, başlangıçta sahte bir Zoom SDK web sayfasını açtı. Ancak, 10.500 boş satırı işledikten sonra, kötü amaçlı bir komut çalıştırarak bir ikincil payload indirmeye başladı.
Huntress araştırmaları, kötü amaçlı komutun bash geçmişi kaydını kapatmayı, ardından Rosetta 2‘nin yüklü olup olmadığını kontrol etmeyi içeriyordu. Eğer yüklü değilse, sessizce yükleyerek x86_64 payloadlarının çalışmasını sağlıyordu.
Kötü Amaçlı Yazılımların Çeşitliliği
Saldırının hedefinde haneler boyunca bulunan sekiz farklı kötü amaçlı ikili dosya tespit edildi. Özellikle, kullanılan Mac kötü amaçlı yazılımlar arasında şunlar yer alıyor:
- Telegram 2: Gerçek bir Telegram güncelleyicisi gibi görünen, Nim tabanlı bir implant.
- Root Troy V4: Uzak kod yürütme ve command queueing yeteneklerine sahip bir geri kapı.
- InjectWithDyld: Enjekte edilen implantları bellek içine yerleştiren ikinci aşama bir yükleyici.
- XScreen (keyboardd): Tuş kaydetme, ekran kaydı ve pano takibi yapan bir izleme bileşeni.
- CryptoBot (airmond): Üzerinde 20’den fazla cüzdan platformunu hedef alan, kripto para odaklı bilgi toplayıcı.
Bu kötü amaçlı yazılımlar, BlueNoroff’un karmaşık saldırılar düzenlemekteki yeteneğini göstermektedir.
Mac Kullanıcıları İçin Tehditler
Huntress, Mac kullanıcılarının kötü amaçlı yazılımlara karşı daha az hedef alındığını düşünmeye eğilimli olduğunu, ancak durumun artık değiştiğini belirtmektedir. macOS‘un kurumsal dünyanın daha fazla benimsenmesiyle, tehdit aktörleri giderek bu işletim sistemini hedef alan kötü amaçlı yazılımlar geliştirmektedir.
Son dönemdeki saldırı kampanyaları, kripto çalmak amacıyla geniş çaplı bilgi toplayıcılar ve daha hedefli saldırılarla belirgin bir şekilde artış göstermiştir. Mac kullanıcıları, bu yeni tehditlerle başa çıkmak için daha iyi hazırlıklı olmaları gerektiğini anlamalıdır.
