Siber Saldırılar
0

Kuzey Koreli Hackerlar Deepfake ve 7 Yeni macOS Zararlısıyla Kripto Sektörünü Hedef Aldı

Kuzey Koreli Hackerlar Deepfake ve 7 Yeni macOS Zararlısıyla Kripto Sektörünü Hedef Aldı
Yazı Özetini Göster

Kuzey Koreli hackerlar, kripto para sektörünü hedef alan yeni bir saldırı kampanyasında yapay zeka ile oluşturulmuş deepfake videolar, sahte Zoom toplantıları ve yedi farklı macOS zararlı yazılım ailesi kullandı. Google’ın Mandiant araştırma ekibinin ortaya çıkardığı bu saldırı, bir fintech şirketindeki tek bir kişiyi hedef almasına rağmen kullanılan araç çeşitliliğiyle dikkat çekiyor.

UNC1069 Kim, Ne İstiyor?

Saldırının arkasında 2018’den bu yana takip edilen UNC1069 adlı Kuzey Kore bağlantılı tehdit grubu yer alıyor. Siber güvenlik camiasında CryptoCore ve MASAN olarak da bilinen bu grup, tamamen finansal motivasyonla hareket ediyor. Kuzey Kore hükümeti adına gelir elde etmekle görevlendirilen UNC1069, 2023 yılından itibaren geleneksel bankacılık hedeflerinden Web3 ekosistemine yöneldi.

Grubun güncel hedef listesi; merkezi kripto borsaları, DeFi platformları, yazılım geliştiricileri, risk sermayesi fonları ve blockchain altyapısı sağlayan şirketleri kapsıyor. BM verilerine göre Kuzey Koreli hackerlar 2025 yılında toplam 2,02 milyar dolar kripto para çaldı; bu rakam bir önceki yıla göre yüzde 51’lik bir artışı temsil ediyor.

Deepfake ve Sahte Zoom ile Sosyal Mühendislik

Mandiant’ın incelediği saldırı, sofistike bir sosyal mühendislik zinciriyle başlıyor. Hackerlar, önce bir kripto şirketinin üst düzey yöneticisinin Telegram hesabını ele geçirdi. Ardından bu hesabı kullanarak hedef kurbanla iletişim kurdu ve güven ilişkisi oluşturduktan sonra 30 dakikalık bir toplantı için Calendly bağlantısı paylaştı.

Toplantı bağlantısı, saldırganların kendi altyapısında barındırdığı sahte bir Zoom sayfasına (zoom[.]uswe05[.]us) yönlendiriyordu. Kurban, görüşme sırasında başka bir kripto şirketinin CEO’suna ait olduğu izlenimini veren yapay zeka üretimi bir deepfake video ile karşılaştı. “Toplantıda” ses sorunları yaşandığı izlenimi yaratılarak kurban, bir web sayfasındaki komutlarla “sorun giderme” yapmaya yönlendirildi. ClickFix olarak bilinen bu teknik, aslında zararlı yazılımın indirilmesini ve çalıştırılmasını tetikliyordu.

Yedi Farklı Zararlı Yazılım Ailesi

Mandiant araştırmacıları, tek bir macOS cihazında yedi farklı zararlı yazılım ailesi tespit etti. Bu durum, araştırmacıların “alışılmadık derecede yüksek araç yoğunluğu” olarak nitelendirdiği hedefli bir operasyona işaret ediyor. WAVESHAPER, C++ ile yazılmış bir arka kapı olarak arka plan hizmeti şeklinde çalışıyor; sistemle ilgili bilgileri topluyor, HTTP/HTTPS üzerinden komuta-kontrol sunucusuyla haberleşiyor ve ek zararlılar indiriyor.

HYPERCALL, Go dilinde geliştirilen bir indirici olarak RC4 şifreli yapılandırma dosyasını okuyor ve TCP 443 üzerinden WebSocket bağlantısıyla zararlı dinamik kütüphaneleri belleğe yansıtmalı olarak yüklüyor. HIDDENCALL ise yine Go tabanlı bir arka kapı olarak HYPERCALL tarafından enjekte ediliyor, komut çalıştırma, dosya işlemleri ve ek zararlı dağıtımı için kullanılıyor.

DEEPBREATH ve CHROMEPUSH: Veri Hırsızlığının Yeni Boyutu

Kampanyada tespit edilen yeni araçlar arasında en dikkat çekici olanlar DEEPBREATH ve CHROMEPUSH. Swift dilinde yazılan DEEPBREATH, macOS’un Şeffaflık, Onay ve Kontrol (TCC) veritabanını manipüle ederek geniş dosya sistemi erişimi elde ediyor. Bu teknikle Keychain kimlik bilgileri, Chrome, Brave ve Edge tarayıcı verileri, Telegram kullanıcı bilgileri ve Apple Notes içerikleri çalınıyor. Toplanan veriler geçici bir klasörde ZIP arşivine sıkıştırılarak curl komutuyla uzak sunucuya aktarılıyor.

CHROMEPUSH ise C++ ile yazılmış ve kendini “Google Docs çevrimdışı düzenleme” aracı olarak gizleyen kötü amaçlı bir tarayıcı uzantısı. Chrome ve Brave tarayıcılarına yüklenen bu uzantı, tuş vuruşlarını kaydediyor, kullanıcı adı ve parola girişlerini izliyor, tarayıcı çerezlerini çalıyor ve ekran görüntüleri alıyor. Çalınan veriler cmailer[.]pro adresine yükleniyor.

SILENCELIFT ve SUGARLOADER

Yeni araçlar arasında yer alan SILENCELIFT, C++ ile yazılmış küçük boyutlu bir arka kapı. /Library/Caches/.Logs.db konumundan çalışarak support-zoom[.]us adresine sistem bilgilerini iletiyor. Root ayrıcalıklarıyla çalıştırıldığında Telegram iletişimini kesme kapasitesine de sahip. SUGARLOADER ise UNC1069’un daha önceki operasyonlarından bilinen, C++ tabanlı bir indirici. /Library/OSRecovery/ dizinindeki RC4 şifreli yapılandırma dosyasını kullanarak CHROMEPUSH’u sisteme yüklüyor ve LaunchDaemon aracılığıyla macOS başlangıcında otomatik çalışma kalıcılığı sağlıyor.

Bu zararlı ailelerin bir arada kullanılması, saldırganların tek bir hedeften mümkün olan en fazla veriyi toplama kararlılığını gösteriyor. Mandiant’a göre toplanan veriler iki amaçla kullanılıyor: doğrudan kripto para hırsızlığı ve kurbanın kimlik bilgilerini kullanarak gelecekteki sosyal mühendislik kampanyalarını beslemek.

Yapay Zeka Destekli Tehdit Evrimi

UNC1069’un bu kampanyadaki en belirgin evrimi, yapay zeka araçlarının operasyonel kullanımı. Google Threat Intelligence Group’un Kasım 2025 raporuna göre UNC1069, Google’ın Gemini yapay zeka aracını zararlı yazılım geliştirmek, operasyonel araştırma yapmak ve keşif faaliyetleri için kullanmaya başladı. Deepfake video kullanımı da bu yapay zeka evriminin sosyal mühendislik boyutunu temsil ediyor.

Grup, 2023’teki geleneksel oltalama tekniklerinden günümüze önemli bir dönüşüm geçirdi. Sahte iş teklifi kampanyalarından Telegram üzerinden güven ilişkisi kurarak hedefli saldırılara evrilen bu yaklaşım, kripto sektöründeki yüksek değerli bireylerin ciddi bir tehdit altında olduğunu ortaya koyuyor.

Nasıl Korunabilirsiniz?

Kripto para ve DeFi sektöründe çalışanlar için alınması gereken önlemlerin başında, beklenmedik toplantı davetlerine karşı dikkatli olmak geliyor. Telegram veya diğer mesajlaşma platformları üzerinden gelen Zoom bağlantılarının alan adları mutlaka doğrulanmalı; “zoom.uswe05.us” gibi şüpheli adresler kırmızı bayrak olarak değerlendirilmeli. macOS sistemlerde uç nokta tespit ve müdahale (EDR) çözümlerinin güncel tutulması, TCC veritabanı manipülasyonları gibi gelişmiş tekniklere karşı koruma sağlıyor.

Tüm kripto platformlarında ve iletişim kanallarında çok faktörlü kimlik doğrulama (MFA) zorunlu kılınmalı. Tarayıcı uzantıları düzenli olarak gözden geçirilmeli ve tanınmayan uzantılar derhal kaldırılmalı. Kurumsal düzeyde ise çalışanlara yapay zeka destekli sosyal mühendislik taktiklerini tanıma eğitimi verilmesi, bu tür saldırılara karşı en etkili savunma hattını oluşturuyor.

Sonuç

UNC1069’un bu kampanyası, devlet destekli siber saldırıların artık yapay zeka ve deepfake teknolojileriyle nasıl yeni bir boyut kazandığını gösteren çarpıcı bir örnek. Tek bir macOS cihazına yedi farklı zararlı yazılım ailesinin yerleştirilmesi, saldırganların ne denli kararlı ve donanımlı olduğunu kanıtlıyor. Kuzey Kore’nin 2025’te 2 milyar doları aşan kripto hırsızlığı sicili göz önüne alındığında, kripto sektöründeki her bireyin ve kurumun güvenlik duruşunu yeniden değerlendirmesi kaçınılmaz görünüyor.

Sıkça Sorulan Sorular

UNC1069, 2018’den bu yana faaliyet gösteren Kuzey Kore bağlantılı finansal motivasyonlu bir tehdit grubudur. Kripto sektörünü hedefliyor çünkü dijital cüzdanlar yüksek değerli varlıklar barındırıyor ve çalınan tek bir oturum tokeni hesapları boşaltmaya yetebiliyor.

ClickFix, sahte hata mesajları veya teknik sorun bahanesiyle kullanıcıları kendi elleriye zararlı komutları çalıştırmaya ikna eden bir sosyal mühendislik tekniğidir. Bu kampanyada sahte Zoom toplantısındaki ses sorunları bahane edilerek kurban, zararlı kodu tetikleyen komutları çalıştırmaya yönlendirildi.

Saldırganlar, TCC veritabanını manipüle ederek macOS güvenlik mekanizmalarını atlıyor. Bu sayede Keychain kimlik bilgileri, tarayıcı verileri, Telegram bilgileri ve Apple Notes içeriklerine kullanıcı onayı olmadan erişebiliyor.

DEEPBREATH, Swift dilinde yazılmış bir veri hırsızı. macOS’un TCC güvenlik veritabanını manipüle ederek geniş dosya erişimi kazanıyor, Keychain parolaları, tarayıcı verileri ve mesajlaşma uygulamalarından veri çalarak ZIP arşivi halinde uzak sunucuya aktarıyor.

Beklenmedik toplantı davetlerinin alan adlarını doğrulayın, tüm hesaplarda çok faktörlü kimlik doğrulama kullanın, tarayıcı uzantılarını düzenli kontrol edin ve macOS sistemlerde EDR çözümlerini güncel tutun. Telegram üzerinden gelen bağlantılara özellikle dikkat edin.

Etiketler :

ClickFixdeepfakekripto hırsızlıkKuzey KoremacOS zararlı yazılımSiber GüvenlikUNC1069

Bir Yorum Yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Benzer Yazılar