İSTANBUL (AA) - Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT), Tayland'da düzenlenen Security Analyst Summit etkinliğinde BlueNoroff gelişmiş kalıcı tehdit (APT) grubunun son faaliyetlerini ortaya koydu.

Şirketten yapılan açıklamaya göre, kötü şöhretli Lazarus grubunun alt birimi BlueNoroff, küresel kripto para ekosistemini hedef alan mali amaçlı 'SnatchCrypto' operasyonunu genişletmeyi sürdürüyor.

GReAT tarafından ortaya çıkarılan 'GhostCall' ve 'GhostHire' kampanyaları, blok zinciri geliştiricileriyle üst düzey yöneticileri hedef almak amacıyla gelişmiş sızma yöntemleri ve özel olarak tasarlanmış kötü amaçlı yazılımlar kullanıyor.

Security Analyst Summit'te paylaşılan bu saldırılar, tek bir komuta ve kontrol altyapısı üzerinden yönetiliyor ve macOS ile Windows sistemlerini etkiliyor.

MacOS cihazlarını hedef alan GhostCall kampanyası, sofistike bir sosyal mühendislik yaklaşımıyla başlıyor. Saldırganlar, Telegram üzerinden girişim sermayedarlarını taklit ederek, hatta bazı durumlarda gerçek girişimcilerin ve startupların ele geçirilmiş hesaplarını kullanarak, yatırım veya ortaklık teklifleri sunuyor.

Kurbanlar, popüler toplantı yazılımlarını taklit eden sahte yatırım görüşmelerine davet ediliyor. Görüşme sırasında 'ses sorununu gidermek' gerekçesiyle katılımcılardan istemcilerini güncellemeleri isteniyor. Bu eylem, kötü amaçlı bir komut dosyasının indirilmesine ve cihazın enfekte olmasına yol açıyor.

Saldırganlar, 4'ü daha önce bilinmeyen 7 çok aşamalı yürütme zinciri kullanıyor. Bu zincirler, kripto ve tarayıcı kimlik bilgisi hırsızlığı, gizli veri ve Telegram kimlik bilgisi çalma gibi özel olarak tasarlanan görevleri dağıtıyor.

GhostHire kampanyasında ise APT grubu, blok zincir geliştiricilerini işe alım uzmanı kisvesi altında hedef alıyor. Kurbanlar, bir beceri değerlendirmesi olarak sunulan ve kötü amaçlı yazılım içeren bir 'GitHub' deposunu indirip çalıştırmaya ikna ediliyor. Altyapısını ve araçlarını GhostCall kampanyasıyla paylaşan GhostHire, video görüşmeleri yerine sahte işe alım süreçleriyle doğrudan geliştirici ve mühendislere yöneliyor.

BlueNoroff, kötü amaçlı yazılım geliştirme sürecini hızlandırmak ve saldırı tekniklerini geliştirmek amacıyla üretken yapay zekadan yararlanıyor. Yeni programlama dilleri kullanarak ve ek özellikler ekleyerek analiz ve tespit süreçlerini daha karmaşık hale getiren saldırganlar, operasyonlarını daha geniş ölçekte ve karmaşık bir biçimde yönetiyor.

- 'Güven ilişkilerini manipüle etmek için kullanıldı'

Açıklamada görüşlerine yer verilen Kaspersky GReAT'in güvenlik araştırmacısı Sojun Ryu, GhostCall'un dikkatlice planlanan bir aldatma stratejisine dayandığını belirtti.

Saldırganların, görüşmelerin gerçek bir toplantı gibi görünmesini sağlamak için önceki kurbanların video kayıtlarını yeniden oynattığına değinen Ryu, 'Bu yöntemle, yalnızca ilk hedefler değil, aynı zamanda tedarik zinciri üzerindeki diğer kurumlar da tehlikeye atıldı. Toplanan veriler, güven ilişkilerini manipüle etmek ve daha geniş bir yelpazede kullanıcıyı hedef almak amacıyla yeniden kullanıldı.' ifadelerini kullandı.

Kaspersky GReAT'in kıdemli güvenlik araştırmacısı Omar Amin de BlueNoroff'un hedefleme stratejisinin, yalnızca kripto para veya tarayıcı kimlik bilgisi hırsızlığıyla sınırlı olmadığını vurguladı.

Üretken yapay zeka kullanımının, kötü amaçlı yazılım geliştirme sürecini hızlandırarak operasyonel yükü azalttığına işaret eden Amin, şunları kaydetti:

'Yapay zeka tabanlı bu yaklaşım, bilgi açıklarını doldurarak hedeflemeyi daha odaklı hale getiriyor. Ele geçirilen veriler, yapay zekanın analiz kabiliyetleriyle birleştirildiğinde saldırıların kapsamı genişliyor. Araştırmamızın, bu tür saldırıların yol açabileceği zararı önlemeye katkı sağlayacağını umuyoruz.'