Sapphire Sleet, APT38 ve TA444 olarak da takip edilen BlueNoroff tehdit grubu, özellikle Web3 ve blockchain sektörlerindeki C düzeyindeki yöneticileri ve üst düzey yöneticileri tehlikeye atmak için tasarlanmış gelişmiş yeni sızma stratejileriyle hedefleme yeteneklerini önemli ölçüde geliştirdi.
Tarihsel olarak kripto para hırsızlığı yoluyla finansal kazanca odaklanan grup, hem teknik gelişmişlik hem de sosyal mühendislik taktiklerinde önemli bir değişimi temsil eden GhostCall ve GhostHire adlı iki koordineli kampanyayı açıkladı.
Securelist analistleri ve araştırmacıları, Nisan 2025’ten itibaren bu kampanyaları tespit ederek, aldatıcı video konferans altyapısını gelişmiş kötü amaçlı yazılım dağıtım zincirleriyle birleştiren çok yönlü bir yaklaşımı ortaya çıkardı.
GhostCall kampanyası ağırlıklı olarak yatırımla ilgili sahte toplantılar yoluyla teknoloji şirketlerindeki ve risk sermayesi şirketlerindeki macOS kullanıcılarını hedeflerken GhostHire, sahte işe alım süreçleri kullanan Web3 geliştiricilerine odaklanıyor.
Her iki kampanya da grubun ikna edici kimlik avı materyalleri oluşturmak ve sosyal mühendislik etkinliğini artırmak için üretken yapay zekadan yararlanma yeteneğini gösteriyor.
.webp)
Bu kampanyaların ortaya çıkışı, Windows’tan, hedef demografinin ağırlıklı olarak Apple tabanlı altyapısına uyum sağlamak için kasıtlı olarak seçilen macOS sistemlerine kasıtlı bir platform geçişine işaret ediyor.
Bu stratejik karar, grubun macOS ortamları için optimize edilmiş, özel olarak tasarlanmış kötü amaçlı yazılım zincirlerini dağıtmasına olanak tanıyarak, tipik kurumsal güvenlik yığınlarında önemli ölçüde daha az tespit fırsatı yaratıyor.
Saldırı Vektörü İnovasyonu: Sahte Görüntülü Görüşme Altyapısı
GhostCall kampanyası, saldırganların kontrolündeki alanlarda barındırılan uydurma Zoom ve Microsoft Teams ortamlarına odaklanan yenilikçi bir saldırı mekanizması kullanıyor.
Kurbanlar, yasal konferans platformlarını yansıtan kimlik avı URL’lerini içeren yatırım toplantılarına Telegram tabanlı davetiyeler alıyor.
Sahte aramalara katıldıktan sonra hedefler, derin sahtekarlıklar yerine daha önce güvenliği ihlal edilmiş kurbanların video kayıtlarını gösteren dikkatlice hazırlanmış sahnelerle karşılaşır ve bu da ikna edici bir özgünlük yaratır.
.webp)
Arayüz daha sonra kullanıcılardan sözde SDK güncellemelerini indirmelerini ister; bu güncellemeler aslında kötü niyetli yüklerin çıkarılmasını engellemek için tasarlanmış yaklaşık 10.000 boş satır içeren kötü amaçlı AppleScript dosyaları sunar.
Enfeksiyon zincirleri, tescilli GillyInjector çerçevesini kullanan gelişmiş kod enjeksiyon tekniklerini kullanır.
AppleScript, ek aşamaları indiren bir curl komutunu çalıştırır ve sonuçta CosmicDoor arka kapıları, RooTroy indiricileri ve SilentSiphon çalma paketleri dahil olmak üzere modüler kötü amaçlı yazılım bileşenleri yükler.
En önemlisi, çalma modülleri, kripto para birimi cüzdanlarını, tarayıcı kimlik bilgilerini, SSH anahtarlarını, bulut altyapısı belirteçlerini, DevOps yapılandırmalarını ve Telegram hesap oturumlarını kapsayan hassas verileri kapsamlı bir şekilde toplar.
Teknik uygulama, konfigürasyon yönetimi için RC4 şifrelemesinden, yük koruması için AES-256 algoritmalarından ve kullanıcı izni istemleri olmadan sınırsız sistem erişimine olanak tanıyan stratejik TCC veritabanı manipülasyonundan yararlanarak benzeri görülmemiş bir gelişmişlik sergiliyor.
Bu, grubun operasyonel yeteneklerinde önemli bir olgunlaşmayı temsil ediyor ve kripto para birimi endüstrisi yöneticilerinin karşı karşıya olduğu kritik risklerin altını çiziyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
