Bilgisayar korsanları, çalışan kayıtları, iş planları ve tescilli teknolojiler gibi gizli bilgileri elde etmek için sıklıkla dahili iletişim araçlarını hedef alırlar.
Güven ve açıklık gibi bu özellikler sayesinde iç iletişimler, bir organizasyona karşı siber saldırılar başlatmak için değerli ancak daha az güvenli araçlar sağlar.
SentinelOne Labs’daki siber güvenlik araştırmacıları, Disney’in Slack’teki iç iletişimlerini yayınlayan NullBulge saldırganının kullandığı araçları tespit etti.
NullBulge grubu Nisan-Haziran 2024 arasında kuruldu. Yapay zeka ve oyun topluluklarına odaklandı ve yenilikçi kötü amaçlı yazılım dağıtım teknikleri kullandı.
Bu, yapay zeka karşıtı aktivizm iddia etmelerine rağmen, faaliyetlerinin grubun kâr amacı güttüğünü gösterdiği anlamına geliyor.
GitHub, Reddit ve Hugging Face gibi platformlarda ‘tedarik zinciri zehirlenmesi’ içeren yapay zeka sanat uygulamaları ve oyunları için eklentileri ve modları tehlikeye atma konusunda uzmanlaşıyorlar.
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files
Kampanyaları, Discord webhooks aracılığıyla veri sızdıran Python tabanlı yüklerden oluşuyor. Ayrıca Async RAT ve Xworm gibi kötü amaçlı yazılım araçları da kullandılar.
NullBulge, tarayıcı verilerini ve sistem ayrıntılarını toplamak için enfekte olmuş kütüphaneleri, özel Python tekerleklerini ve betikleri kullanır. Araştırmacılar ayrıca LockBit fidye yazılımı türünü de kullandığını ekledi.
Bu karmaşık yaklaşım, yapay zeka platformlarına dağıtılmış bir dizi kötü amaçlı aracın yanı sıra meşru yazılım depolarını da tehlikeye atıyor ve bu da yapay zeka ve oyun ekosistemlerine yönelik çok sayıda tehdidi ortaya koyuyor.
AppleBotzz kimliği, NullBulge’un GitHub, Hugging Face ve ModLand’e yönelik saldırılarının merkezinde yer alıyor ve bu ikisi arasındaki ilişki hakkında sorular gündeme getiriyor.
NullBulge, orijinal ComfyUI_LLMVISION deposunun bakımcısının kimlik bilgilerini tehlikeye attığını ve bu sayede kötü amaçlı kod gönderilerinin mümkün hale geldiğini iddia ediyor.
AppleBotzz’un ayrı bir varlık olduğunu ve çeşitli platformlardaki hesaplarını ele geçirdiklerini öne sürüyorlar.
Ancak kötü amaçlı yazılım hazırlama ve dağıtımı için AppleBotzz’un sürekli kullanılması, NullBulge’un bu kimliği kontrol edebileceğini düşündürüyor.
NullBulge bu bağlantıyı reddetse de, tehlikeye atılan depoların kötü amaçlı olmayan kod içermemesi ve AppleBotzz’un platformlar arasında yaygın olarak kullanılması, ayrılık iddialarına şüphe düşürüyor; ancak kesin kanıtlar bulunmuyor.
BeamNG oyuncularını hackleme girişimi kapsamında NullBulge, sosyal medya siteleri ve oyun platformlarında kodlanmış köprü metinleri aracılığıyla Async RAT veya Xworm’u düşüren karmaşık PowerShell betikleriyle dolu modlar yayınladı.
Bu ilk saldırılar özel LockBit fidye yazılımı varyantlarını başlattı. Ekip, LockBit 3.0 oluşturucusu içinde çeşitli kötü amaçlı işlevler sağlayan değiştirilmiş bir yapılandırma dosyası kullanıyor.
NullBulge, içerisinde birden fazla kurbanın bulunduğu aktif sızıntı portalları kiralar.
Özellikle Disney’e saldırdıklarını ve DuckTales prodüksiyon dosyalarını ve daha sonra da Slack’in sözde dahili verilerinin bulunduğu 1,2 TB’lık devasa bir veri koleksiyonunu sızdırdıklarını iddia ettiler.
Grubun gelişmiş sistemi, tedarik zinciri saldırıları, çok aşamalı kötü amaçlı yazılım kampanyaları ve yüksek profilli veri dökümlerini kullanarak, günümüzün tehdit sahnelerindeki ortaya çıkan tehdit yeteneklerini gösteriyor.
NullBulge, çalınan bilgi hırsızı kayıtlarını ve OpenAI API anahtarlarını çeşitli yeraltı forumlarında saklıyor ve satıyor; bu da birleşik sanatsal korumalarının ötesinde finansal bir amacı ortaya çıkarıyor.
Kendi ürettikleri araçların yer aldığı bir GitHub deposu ve API anahtarlarını sattıkları mysellix.io profili bulunuyor.
NullBulge, çok gelişmiş bir virüs olmasa da temel kötü amaçlı yazılım ve fidye yazılımlarına sahip yapay zeka tabanlı uygulamalara ve oyunlara odaklanarak önemli bir tehdit oluşturuyor.
Öneriler
Aşağıda tüm önerilerimizi belirttik:
- API anahtarlarını kasaları kullanarak güvenceye alın, sabit kodlamadan kaçının ve düzenli olarak döndürün.
- Özellikle bağımlılıklarda şüpheli içerik olup olmadığını kontrol ederek üçüncü taraf kodlarını inceleyin.
- Üçüncü taraf kodları için güvenilir, doğrulanmış kaynakları kullanarak kod kaynaklarını doğrulayın.
- Şüpheli aktiviteleri tespit etmek için aktif katkıda bulunanları bilerek commit geçmişlerini izleyin.
- Bilinmeyen kaynaklardan kurulum yapmaktan kaçınarak herkese açık kodlara karşı her zaman dikkatli olun.
“Sisteminiz Saldırı Altında mı? Cynet XDR’yi deneyin: Uç Noktalar, Ağlar ve Kullanıcılar için Otomatik Algılama ve Yanıt!” – Ücretsiz Demo