Chollima Hackers, Windows ve MacOS’u yeni Golangghost Rat Kötü Yazılım

Ünlü Chollima (Wagemole olarak da bilinen) adlı Kuzey Koreli bir tehdit oyuncusu, Mayıs 2025’te Cisco Talos tarafından keşfedilen bir gelişme ile ilgili bir gelişme olan Windows ve MacOS cihazlarına karşı sofistike bir uzaktan erişim Truva (sıçan) kampanyası başlattı.

Birden fazla koordineli varlık içerdiğinden şüphelenilen bu grup, daha önce belgelenmiş Gorang tabanlı “Golangghost” sıçanının yanında “Pylangghost” adlı Python tabanlı bir varyant tanıttı.

Windows kullanıcıları Python varyantıyla karşılaşırken, MacOS sistemleri Golang sürümü ile hedeflenir ve Linux kullanıcılarını bu son saldırı dalgasında etkisiz kalır.

– Reklamcılık –

Kuzey Koreli uyumlu tehdit oyuncusu

Birincil kurbanlar, kripto para birimi ve blockchain teknolojileri konusunda uzmanlığa sahip profesyoneller gibi görünmektedir, bu da saldırganların çalıntı kimlik bilgileri ve hassas veriler yoluyla finansal kazançlara odaklanmasının açık bir göstergesidir.

Ünlü Chollima Grubu, Cisco Talos’un bulgularında ayrıntılı olarak açıklandığı gibi, hedeflerinden yararlanmak için kurnaz iki yönlü bir strateji kullanıyor.

Birincil yöntemleri, Coinbase, Robinhood, Uniswap ve paralel stüdyolar gibi saygın şirketleri taklit eden sahte iş görüşme platformları oluşturmayı içerir.

Şüphesiz iş arayanlar, başta yazılım mühendisleri, pazarlama profesyonelleri ve tasarımcılar, kişiselleştirilmiş davet kodları ile React çerçevesi üzerine inşa edilen beceri testi web sitelerine çekilir.

Kişisel bilgileri girdikten ve özel soruları yanıtladıktan sonra, kullanıcıların bir video röportajı kaydetmeleri istenir.

Bu adım, işletim sistemine bağlı olarak PowerShell veya BASH aracılığıyla kamera erişimi için gerekli bir sürücü kurulumu olarak sunulan kötü niyetli bir komutu yürütmeye kandırır.

Crossheirs’deki kripto para birimi ve blockchain uzmanları

Windows için komut, Pylangghost modülleri içeren bir zip dosyası ve Truva atı yeniden adlandırılmış Python tercüman dosyası “nvidia.py” aracılığıyla açmak ve başlatmak için görsel bir temel komut dosyası indirir.

MacOS’ta benzer bir enfeksiyon zinciri Golangghost varyantı sağlar. Bulaşıcı röportaj gibi daha geniş kampanyaların bir parçası olan bu “ClickFix” taktiği, 2014’ten beri aktif ve insanın mesleki fırsatlara olan güvenini kullanıyor.

Teknik olarak, Pylangghost, kayıt defteri girişleri yoluyla kalıcılık oluşturmak, benzersiz sistem kılavuzları üretme ve RC4 ile şifreli HTTP paketlerini kullanarak komut ve kontrol (C2) sunucularıyla iletişim kurmak gibi görevler için altı yapılandırılmış python modülüne sahip golangghost’u işlevsel olarak yansıtıyor.

Sıçan, metamask gibi kripto para birimi cüzdanları ve 1password gibi şifre yöneticileri de dahil olmak üzere 80’den fazla tarayıcı uzantısından uzaktan sistem kontrolü, dosya manipülasyonu ve kimlik bilgisi hırsızlığı sağlar.

Açık kaynak zekası, etkinin şu anda sınırlı olduğunu, az sayıda etkilenen kullanıcının ağırlıklı olarak Hindistan’da ve hiçbir Cisco müşterisinin telemetri verileri başına etkilenmediğini gösteriyor.

Farklı programlama dillerine rağmen, Pylangghost ve Golangghost arasındaki yakın modül yapıları ve adlandırma kuralları her iki varyantın arkasında sıkı sıkıya bağlı bir geliştirme ekibi önermektedir.

Cisco Talos, bu tehditle mücadele etmek için Clamav imzaları ve snort kurallarının yanı sıra güvenli uç nokta, güvenli e -posta ve güvenli güvenlik duvarı da dahil olmak üzere sağlam algılama ve hafifletme araçları sağladı.

Aşağıda, dosya karmalar, C2 sunucu adresleri ve kampanyada kullanılan aldatıcı alanlar dahil olmak üzere referans için uzlaşma göstergelerinin (IOCS) küratörlü bir listesi bulunmaktadır.

Özellikle kripto para birimi sektöründeki kuruluşların, bu tür sosyal olarak tasarlanmış saldırılara karşı uyanık kalmaları istenmektedir.

Uzlaşma Göstergeleri (IOCS)

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin