APT
Kaspersky Global Araştırma ve Analiz Ekibi (GReAT) uzmanları, Security Analyst Summit 2025’te Lazarus’un bir alt grubu olduğunu düşündüğümüz BlueNoroff APT grubunun faaliyetleri hakkında konuştu. Özellikle, kripto endüstrisindeki geliştiricileri ve yöneticileri hedef alan GhostCall ve GhostHire saldırı kampanyalarını ayrıntılarla açıkladılar.
BlueNoroff aktörleri öncelikle finansal kazançla ilgileniyor ve şimdilerde blockchain ile çalışan kuruluşların çalışanlarına saldırmayı tercih ediyor. Hedefler özenle seçiliyor: Saldırganlar her saldırı için son derece titiz bir hazırlık yapıyor. GhostCall ve GhostHire saldırı kampanyaları birbirlerinden çok farklı, olsalar da ortak bir yönetim altyapısına dayanmaktalar. Bu nedenle uzmanlarımız bunları tek bir raporda birleştirdiler.
GhostCall kampanyası
GhostCall saldırı kampanyası, esas olarak çeşitli kuruluşların yöneticilerini hedef almakta. Saldırganlar, kripto para birimlerini, kimlik bilgilerini ve gizli bilgileri çalmak için tasarlanmış kötü amaçlı yazılımlarla kurbanların bilgisayarlarına girmeye çalışıyorlar. GhostCall operatörlerinin ilgilendiği ana platform macOS. Bunun muhtemel sebebi Apple cihazlarının modern şirketlerin yönetimleri arasında özellikle popüler olması.
GhostCall saldırıları oldukça sofistike bir sosyal mühendislikle başlıyor: Saldırganlar yatırımcı gibi davranıyorlar (bazen gerçek girişimcilerin çalınan hesaplarını ve hatta onlarla yapılan gerçek video görüşmelerinin parçalarını kullanıyorlar) ve ortaklık veya yatırım hakkında görüşmek üzere bir toplantı ayarlamaya çalışıyorlar. Amaç, kurbanı Microsoft Teams veya Zoom’u taklit eden bir web sitesine çekmek. Kurban toplantı linkine tıkladığında kendisini standart bir tuzak bekliyor: Web sitesi, istemciyi güncelleme veya bazı teknik sorunları giderme gerekliliği hakkında bir bildirim gösteriyor. Bunu yapmak için, kurbandan bir dosyayı indirip çalıştırması isteniyor ve bu da bilgisayara virüs bulaşmasına neden oluyor.
Çeşitli bulaşma zincirleri hakkındaki ayrıntıları (bu saldırı kampanyasında en az yedi tane var ve bunların dördü uzmanlarımız tarafından daha önce görülmemişti) ve ihlal göstergelerini Securelist web sitesindeki blog yazısında bulabilirsiniz.
GhostHire saldırı kampanyası
GhostHire, blok zinciri ile çalışan geliştiricileri hedefleyen saldırı kampanyası. Amaç aynı: Bilgisayarları kötü amaçlı yazılımlarla enfekte etmek. Ancak yöntem farklı. Burada saldırganlar, kurbanları uygun şartlarda iş teklifleriyle cezbediyorlar. Müzakereler sırasında, geliştiriciye bir Telegram botunun adresini veriyorlar. Bu bot, kurbana bir test görevi içeren GitHub bağlantısını sağlıyor veya bir arşivde indirmeyi teklif ediyor. Geliştiricinin bunu düşünmek için zaman bulmasını önlemek için, görevin son teslim tarihi oldukça sıkı. Test gerçekleştirilirken, kurbanın bilgisayarına kötü amaçlı yazılım bulaşıyor.
GhostHire saldırı kampanyasında saldırganlar tarafından kullanılan araçlar ve bunların ihlal göstergelerini de Securelist blogundaki yazıda bulabilirsiniz.
GhostCall ve GhostHire saldırılarından kendinizi nasıl koruyabilirsiniz?
GhostCall ve GhostHire belirli geliştiricileri ve şirket yöneticilerini hedef alsa da, saldırganlar öncelikle çalışan altyapıyla ilgilenmektedirler. Bu nedenle, bu saldırılara karşı koruma görevi, kurumsal BT güvenlik uzmanlarının sorumluluğundadır. Bu noktada şirketler için iki önerimiz var:
İlki, modern saldırganların kullandığı hileler hakkında tüm şirket çalışanlarının farkındalığını düzenli olarak artırmaktır. İlgili eğitim, geliştiriciler ve yöneticiler dahil olmak üzere belirli uzmanların işlerinin niteliğini dikkate almalıdır. Bu tür eğitimler, Kaspersky Automated Security Awareness Platform gibi özel bir çevrimiçi platform kullanılarak düzenlenebilir.
İkincisi, çalışanların dış dünya ile iletişim kurmak için kullandıkları tüm kurumsal cihazlarda modern güvenlik çözümleri kullanmaktır.
İpuçları