Kaspersky: BlueNoroff, Yapay Zekâ Takviyeli Araçlarla Windows ve macOS Üzerinden Üst Seviye Yöneticileri Amaç Alıyor

Tayland’da düzenlenen Security Analyst Summit etkinliğinde, Kaspersky Global Araştırma ve Tahlil Takımı (GReAT), BlueNoroff APT kümesinin son faaliyetlerini ortaya koydu. “GhostCall” ve “GhostHire” isimli iki gayeli berbat maksatlı kampanya üzerinden yürütülen bu operasyonlar, Nisan 2025’ten bu yana Hindistan, Türkiye, Avustralya başta olmak üzere Avrupa ve Asya’daki çeşitli ülkelerdeki Web3 ve kripto para kuruluşlarını maksat alıyor.

BlueNoroff, berbat şöhretli Lazarus kümesinin bir alt ünitesi olarak, global kripto para ekosistemini maksat alan mali emelli SnatchCrypto operasyonunu genişletmeyi sürdürüyor. Yeni ortaya çıkarılan GhostCall ve GhostHire kampanyaları ise, blok zinciri geliştiricileri ile üst seviye yöneticileri gaye almak hedefiyle gelişmiş sızma formülleri ve özel olarak tasarlanmış makus maksatlı yazılımlar kullanıyor. Bu ataklar hem macOS hem Windows sistemlerini etkiliyor ve tek bir komuta ve denetim altyapısı üzerinden yönetiliyor.

GhostCall kampanyası, macOS aygıtlarını amaç alıyor ve epey sofistike bir toplumsal mühendislik yaklaşımıyla başlıyor. Saldırganlar, Telegram üzerinden teşebbüs sermayedarlarını taklit ederek — hatta kimi durumlarda gerçek girişimcilerin ve startup kurucularının ele geçirilmiş hesaplarını kullanarak — yatırım yahut iştirak teklifleri sunuyor. Kurbanlar, Zoom yahut Microsoft Teams’i taklit eden geçersiz yatırım toplantılarına davet ediliyor. Görüşme sırasında “ses problemini gidermek için” istemcilerini güncellemeleri isteniyor; bu hareket makûs emelli bir komut belgesinin indirilmesine ve aygıtın enfekte olmasına yol açıyor.

Kaspersky GReAT güvenlik araştırmacısı Sojun Ryu, kampanyaya ait şu değerlendirmede bulundu: “Bu kampanya, dikkatlice planlanmış bir aldatma stratejisine dayanıyordu. Saldırganlar, görüşmelerin gerçek bir toplantı üzere görünmesini sağlamak için evvelki kurbanların görüntü kayıtlarını yine oynattı. Bu prosedürle sadece birinci maksatlar değil, birebir vakitte tedarik zinciri üzerindeki başka kurumlar da tehlikeye atıldı. Toplanan datalar, itimat bağlantılarını manipüle etmek ve daha geniş bir yelpazede kullanıcıyı amaç almak gayesiyle tekrar kullanıldı.”

Saldırganlar, dördü daha evvel hiç görülmemiş olmak üzere yedi çok basamaklı yürütme zinciri kullandı. Bu zincirler, kripto hırsızlığı, tarayıcı kimlik bilgisi hırsızlığı, bâtın bilgi çalma ve Telegram kimlik bilgisi çalma üzere özel olarak tasarlanmış yükler dağıtmak için geliştirildi.

GhostHire kampanyasında ise APT kümesi, blok zincir geliştiricilerini işe alım uzmanı kisvesi altında amaç alıyor. Kurbanlar, bir marifet değerlendirmesi olarak sunulan ve berbat hedefli yazılım içeren bir GitHub deposunu indirip çalıştırmaya ikna ediliyor. GhostHire, altyapısını ve araçlarını GhostCall kampanyasıyla paylaşıyor, lakin görüntü görüşmeleri kullanmak yerine, uydurma işe alım süreçleriyle direkt geliştirici ve mühendislere yöneliyor.

BlueNoroff’un berbat hedefli yazılım geliştirme sürecini hızlandırmak ve atak tekniklerini geliştirmek için üretken yapay zekadan (Generative AI) yararlandığı tespit edildi. Saldırganlar, yeni programlama lisanları kullanarak ve ek özellikler ekleyerek tahlil ve tespit süreçlerini daha karmaşık hale getirdi. Bu durum, kümenin operasyonlarını daha geniş ölçekte ve karmaşık bir biçimde yönetmesini mümkün kılıyor.

Kaspersky GReAT kıdemli güvenlik araştırmacısı Omar Amin ise bahisle ilgili olarak şu açıklamada bulundu: “BlueNoroff’un hedefleme stratejisi artık sadece kripto para yahut tarayıcı kimlik bilgisi hırsızlığıyla sonlu değil. Üretken yapay zekanın kullanımı, makus maksatlı yazılım geliştirme sürecini hızlandırarak operasyonel yükü azaltıyor. Yapay zekâ tabanlı bu yaklaşım, bilgi açıklarını doldurarak hedeflemeyi daha odaklı hale getiriyor. Ele geçirilen datalar, yapay zekanın tahlil kabiliyetleriyle birleştirildiğinde atakların kapsamı genişliyor. Araştırmamızın, bu çeşit akınların yol açabileceği ziyanı önlemeye katkı sağlayacağını umuyoruz.”

GhostCall ve GhostHire üzere ataklardan korunmak isteyen kurumların aşağıdaki temel güvenlik adımlarını izlemesi öneriliyor:

• Cömert teklifler ve yatırım tekliflerine karşı dikkatli olun. Bilhassa Telegram, LinkedIn yahut başka toplumsal platformlar üzerinden sizinle bağlantıya geçen yeni şahısların kimliğini kesinlikle doğrulayın. Tüm hassas yazışmalarınız için doğrulanmış ve inançlı kurumsal kanalları kullanın
• Güvendiğiniz bir kişinin hesabının ele geçirilmiş olabileceğini göz önünde bulundurun. Rastgele bir evrak yahut ilişkiyi açmadan evvel kimliği alternatif kanallardan doğrulayın ve her vakit resmi bir alan ismi (domain) üzerinde olduğunuzdan emin olun. Sıkıntıları çözmek için doğrulanmamış komut evraklarını yahut komutları çalıştırmaktan kaçının.
• Şirketinizi geniş kapsamlı tehditlere karşı korumak için, her ölçekten ve daldan kuruluşlara gerçek vakitli muhafaza, tehdit görünürlüğü, araştırma ve müdahale (EDR ve XDR) yetenekleri sunan Kaspersky Next ürün serisini kullanın. Mevcut gereksinimlerinize ve kaynaklarınıza bağlı olarak en uygun eser düzeyini seçebilir ve siber güvenlik ihtiyaçlarınız değiştikçe basitçe öteki bir düzeye geçiş yapabilirsiniz.
• Kaspersky’nin yönetilen güvenlik hizmetlerini benimseyin; örneğin Compromise Assessment, Managed Detection and Response  (MDR) ve Incident Response çözümleri. Bu hizmetler, tehdit tespitinden daima muhafaza ve düzeltmeye kadar tüm olay idaresi döngüsünü kapsar. Böylelikle atlatma teknikleri kullanan siber akınlara karşı korunabilir, olayları derinlemesine inceleyebilir ve siber güvenlik işçisi eksikliği durumunda ek uzmanlık takviyesi alabilirsiniz.
• Bilgi güvenliği (InfoSec) uzmanlarınıza, kuruluşunuzu maksat alan siber tehditler hakkında derinlemesine görünürlük sağlayın.Kaspersky Threat Intelligence’ın en son sürümü, olay idaresi döngüsünün tamamında varlıklı ve manalı bağlam sunar, siber risklerin vaktinde tespit edilmesine yardımcı olur.

Kaynak: (BYZHA) Beyaz Haber Ajansı