Kuzey Kore’ye bağlı tehdit aktörlerinin, takip edilen ikiz kampanyaların bir parçası olarak Web3 ve blockchain sektörlerini hedef aldığı gözlemlendi. Hayalet Çağrı Ve Hayalet Kiralama.
Kaspersky’ye göre kampanyalar, en az 2017’den beri devam eden SnatchCrypto adlı daha geniş bir operasyonun parçası. Etkinlik, APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet (eski adıyla Copernicium) ve Stardust Chollima olarak da bilinen BlueNoroff adlı Lazarus Grubu alt kümesine atfediliyor.
GhostCall kampanyasının kurbanları Japonya, İtalya, Fransa, Singapur, Türkiye, İspanya, İsveç, Hindistan ve Hong Kong’da bulunan birkaç virüslü macOS sunucusunu kapsıyor; Japonya ve Avustralya ise GhostHire kampanyasının başlıca avlanma alanları olarak tanımlanıyor.
Kaspersky, “GhostCall, Telegram gibi platformlar aracılığıyla hedeflere doğrudan yaklaşarak ve potansiyel kurbanları Zoom benzeri kimlik avı web siteleriyle bağlantılı yatırımla ilgili toplantılara davet ederek, teknoloji şirketlerindeki ve risk sermayesi sektöründeki yöneticilerin macOS cihazlarını yoğun bir şekilde hedef alıyor” dedi.
“Kurban, derin sahte kayıtlar yerine bu tehdidin diğer gerçek kurbanlarının gerçek kayıtlarını içeren sahte bir çağrıya katılıyor. Çağrı sorunsuz bir şekilde devam ediyor ve ardından kullanıcıyı Zoom istemcisini bir komut dosyasıyla güncellemeye teşvik ediyor. Sonunda komut dosyası, virüs bulaşmış bir ana makineye yayılan enfeksiyon zincirleriyle sonuçlanan ZIP dosyalarını indiriyor.”
Öte yandan GhostHire, Telegram’daki Web3 geliştiricileri gibi potansiyel hedeflere yaklaşmayı ve onları, bağlantının paylaşılmasından sonraki 30 dakika içinde bir beceri değerlendirmesini tamamlama bahanesiyle bubi tuzaklı bir GitHub deposunu indirmeye ve çalıştırmaya teşvik etmeyi içeriyor. Böylece enfeksiyonda daha yüksek bir başarı oranı elde ediliyor.
Proje, kurulduktan sonra, kullanılan işletim sistemine bağlı olarak geliştiricinin sistemine kötü amaçlı bir veri indirecek şekilde tasarlandı. Rus siber güvenlik şirketi, Nisan 2025’ten bu yana iki kampanyayı takip ettiğini söyledi ancak GhostCall’ın muhtemelen RustBucket kampanyasını takiben 2023 ortasından beri aktif olduğu değerlendiriliyor.
RustBucket, düşman kolektifin macOS sistemlerini hedefleme konusundaki en önemli dönüm noktası oldu ve bunu takip eden diğer kampanyalarda KANDYKORN, ObjCShellz ve TodoSwift gibi kötü amaçlı yazılım ailelerinden yararlanıldı.
Etkinliğin çeşitli yönlerinin geçen yıl Microsoft, Huntress, Field Effect, Huntabil.IT, Validin ve SentinelOne dahil olmak üzere çok sayıda güvenlik sağlayıcısı tarafından kapsamlı bir şekilde belgelendiğini belirtmekte fayda var.
GhostCall Kampanyası
GhostCall kampanyasının bir parçası olarak sahte Zoom sayfalarına gelen hedeflere, başlangıçta canlı bir çağrı yanılsaması veren sahte bir sayfa sunulur, ancak üç ila beş saniye sonra bir hata mesajı görüntülenir ve çağrıyı sürdürmeyle ilgili olduğu iddia edilen bir sorunu çözmek için onları bir Zoom yazılım geliştirme kiti (SDK) indirmeye teşvik eder.
Kurbanların tuzağa düşüp “Şimdi Güncelle” seçeneğine tıklayarak SDK’yı güncellemeye çalışması halinde, bu, sistemlerine kötü amaçlı bir AppleScript dosyasının indirilmesine yol açacaktır. Kurbanın bir Windows makinesi kullanması durumunda saldırı, bir PowerShell komutunu kopyalayıp çalıştırmak için ClickFix tekniğinden yararlanır.
Her aşamada, sahte siteyle olan her etkileşim kaydediliyor ve kurbanın eylemlerini takip etmeleri için saldırganlara işaret ediliyor. Geçtiğimiz ay gibi yakın bir tarihte, tehdit aktörünün Zoom’dan Microsoft Teams’e geçiş yaptığı ve bu kez enfeksiyon zincirini tetiklemek için kullanıcıları TeamsFx SDK indirmeleri için kandırma taktiğinin aynısını kullandığı gözlemlendi.
Kullanılan yem ne olursa olsun, AppleScript, Zoom veya Microsoft Teams kılığına girmiş sahte bir uygulamayı yüklemek için tasarlanmıştır. Ayrıca, parola yönetimi uygulamalarıyla ilişkili depolanan parolaları kontrol eden ve kök ayrıcalıklarına sahip ek kötü amaçlı yazılımlar yükleyen DownTroy adlı başka bir AppleScript’i de indirir.
DownTroy ise sekiz farklı saldırı zincirinin bir parçası olarak birçok veriyi devre dışı bırakacak ve aynı zamanda Apple’ın Şeffaflık, Rıza ve Kontrol (TCC) çerçevesini de atlayacak şekilde tasarlandı.
- Zoom veya Teams gibi görünen Swift tabanlı bir implant kullanan ZoomClutch veya TeamsClutch, uygulama güncellemesini tamamlamak ve ayrıntıları harici bir sunucuya sızdırmak için kullanıcıdan sistem şifresini girmesini isteyen işlevsellik barındırıyor
- DownTroy v1, AppleScript tabanlı DownTroy kötü amaçlı yazılımını başlatmak için Go tabanlı bir damlalık kullanan ve daha sonra makine yeniden başlatılana kadar sunucudan ek komut dosyalarının indirilmesinden sorumlu olan DownTroy v1.
- CosmicDoor, zararsız bir Mach-O uygulamasını çalıştırmak ve çalışma zamanında bu uygulamaya kötü amaçlı bir yük enjekte etmek için GillyInjector (namı diğer InjectWithDyld) adlı bir C++ ikili yükleyicisini kullanıyor. –d bayrağıyla çalıştırıldığında GillyInjector yıkıcı yeteneklerini etkinleştirir ve geçerli dizindeki tüm dosyaları geri dönülemez şekilde siler. Enjekte edilen veri, komutları almak ve yürütmek için harici bir sunucuyla iletişim kurabilen, Nim dilinde yazılmış CosmicDoor adlı bir arka kapıdır. Saldırganların Rust, Python ve Nim versiyonlarına geçmeden önce Windows için CosmicDoor’un Go versiyonunu geliştirdiğine inanılıyor. Ayrıca SilentSiphon adlı bir bash betiği çalma paketini de indirir.
- GillyInjector’ı başlatmak için Nimcore yükleyiciyi kullanan RooTroy, daha sonra cihaz bilgilerini toplamak, çalışan işlemleri numaralandırmak, belirli bir dosyadan yükü okumak ve ek kötü amaçlı yazılımlar indirmek (RealTimeTroy’u sayar) ve bunları yürütmek için RooTroy (diğer adıyla Root Troy V4) adlı bir Go arka kapısını enjekte eder.
- GillyInjector’ı başlatmak için Nimcore yükleyiciyi kullanan RealTimeTroy, daha sonra dosyaları okumak/yazmak, dizin ve işlem bilgilerini almak, dosyaları yüklemek/indirmek, belirli bir işlemi sonlandırmak ve cihaz bilgilerini almak için WSS protokolünü kullanarak harici bir sunucuyla iletişim kuran RealTimeTroy adlı bir Go arka kapısını enjekte eder.
- SneakMain, harici bir sunucudan alınan ek AppleScript komutlarını almak ve yürütmek için SneakMain adlı bir Nim verisini başlatmak için Nimcore yükleyiciyi kullanır.
- Nimcore yükleyiciyi başlatmak için CoreKitAgent adlı bir damlalık kullanan DownTroy v2, daha sonra harici bir sunucudan ek bir kötü amaçlı komut dosyası indirmek için AppleScript tabanlı DownTroy’u (diğer adıyla NimDoor) başlatır.
- SysPhon adlı RustBucket’in hafif bir sürümünü kullanan SysPhon ve daha önce KANDYKORN kötü amaçlı yazılımını dağıttığı bilinen bir yükleyici olan SUGARLOADER. Gizli Risk kampanyasında da kullanılan SysPhon, C++ ile yazılmış, keşif gerçekleştirebilen ve harici bir sunucudan ikili veri yükü getirebilen bir indiricidir.
SilentSiphon, Apple Notes, Telegram, web tarayıcısı uzantılarının yanı sıra tarayıcılardan ve şifre yöneticilerinden gelen kimlik bilgilerinin yanı sıra GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust kargo, NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle gibi uzun bir hizmet listesiyle ilgili yapılandırma dosyalarında saklanan sırları toplayacak şekilde donatılmıştır. Cloud, Akamai Linode, DigitalOcean API, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp, SSH, FTP, Sui Blockchain, Solana, NEAR Blockchain, Aptos Blockchain, Algorand, Docker, Kubernetes ve OpenAI.
Kaspersky, “Sahte aramalara ilişkin video akışları, aktörün oluşturduğu uydurma Zoom kimlik avı sayfaları aracılığıyla kaydedilirken, toplantı katılımcılarının profil resimlerinin LinkedIn, Crunchbase veya X gibi iş platformlarından veya sosyal medya platformlarından alındığı görülüyor.” dedi. “İlginç bir şekilde, bu görüntülerin bazıları [OpenAI] GPT-4o.”
GhostHire Kampanyası
Rus siber güvenlik şirketi GhostHire kampanyasının da 2023’ün ortalarına kadar uzandığını, saldırganların hedeflerle doğrudan Telegram üzerinden temas kurduğunu, bir iş teklifinin ayrıntılarını paylaştığını ve ABD merkezli finans şirketlerindeki işe alım görevlilerinin kimliğine bürünerek görüşmelere meşruiyet katmanın bir girişim olduğunu ekledi.
Kaspersky, “İlk iletişimin ardından aktör, hedefi, kimliğine bürünülmüş şirketin logosunu gösteren ve yanlış bir şekilde adaylar için teknik değerlendirmeleri kolaylaştırdığını iddia eden bir Telegram botunun kullanıcı listesine ekliyor.” dedi.
“Bot daha sonra kurbana bir kodlama değerlendirme projesi içeren bir arşiv dosyası (ZIP) ile birlikte hedefi görevi hızlı bir şekilde tamamlamaya zorlamak için kesin bir son tarih (genellikle yaklaşık 30 dakika) gönderir. Bu aciliyet, hedefin kötü amaçlı içeriği yürütme olasılığını artırır ve başlangıçta sistemin tehlikeye girmesine yol açar.”
Proje kendi başına zararsızdır ancak GitHub’da barındırılan kötü amaçlı bir Go modülü (örn. uniroute) biçiminde kötü niyetli bir bağımlılık içerir ve bu da proje yürütüldüğünde enfeksiyon dizisinin tetiklenmesine neden olur. Bu, öncelikle kurbanın bilgisayarının işletim sisteminin belirlenmesini ve PowerShell (Windows), bash betiği (Linux) veya AppleScript (macOS) ile programlanmış uygun bir sonraki aşama yükünün (örn. DownTroy) sağlanmasını içerir.
Ayrıca Windows’u hedef alan saldırılarda DownTroy aracılığıyla dağıtılan RooTroy, CosmicDoor’un Go sürümü olan RealTimeTroy ve “C:\
Kaspersky, “Araştırmamız, aktörün hem Windows hem de macOS sistemlerini hedef alan, birleşik bir komuta ve kontrol altyapısı aracılığıyla yönetilen kötü amaçlı yazılım geliştirmeye yönelik sürekli bir çaba gösterdiğini gösteriyor.” dedi. “Üretken yapay zekanın kullanımı bu süreci önemli ölçüde hızlandırdı ve daha az operasyonel ek yük ile daha verimli kötü amaçlı yazılım geliştirmeyi mümkün kıldı.”
“Aktörün hedefleme stratejisi, basit kripto para birimi ve tarayıcı kimlik bilgileri hırsızlığının ötesine geçti. Erişim sağladıktan sonra altyapı, işbirliği araçları, not alma uygulamaları, geliştirme ortamları ve iletişim platformları (mesajcılar) dahil olmak üzere bir dizi varlık üzerinden kapsamlı veri toplama gerçekleştiriyorlar.”