Dolandırıcılık Yönetimi ve Siber Suç, Hizmet Olarak Kötü Amaçlı Yazılım
Lazarus Grubu Özellikle macOS Hedeflerine Ulaşmak İçin Çapraz Platform Dillerini Kullanıyor
Mathew J. Schwartz (euroinfosec) •
31 Ekim 2024
Kripto para arayan bilgisayar korsanları giderek daha fazla macOS kullanıcısını hedef alıyor.
Ayrıca bakınız: İsteğe Bağlı | 2024 Kimlik Avı Analizleri: 11,9 Milyon Kullanıcı Davranışı Riskiniz Hakkında Neleri Ortaya Çıkarıyor?
Bu nedenle, uç nokta tespit ve yanıt sağlayıcısı Trellix’in hazırladığı yeni bir raporda, son 10 ay içinde Mac kullanıcılarına yönelik “artan saldırılara yanıt olarak” şirketin macOS hedefleme tehditlerine bağlı “tespit içeriğini artırdığı” belirtiliyor. neredeyse %60 oranında.
Bu, yalnızca kötü amaçlı yazılım saldırılarına yönelik tespitleri değil, aynı zamanda bunlardan önce gelebilecek belirli kimlik avı kampanyalarını, ardından diğer kötü amaçlı etkinlik türlerinin yanı sıra araç girişi ve AppleScript kullanımını, dosya ve dizin keşfetme çabalarını ve veri sızmasını da içerir.
“Gökyüzü düşmüyor” uzun süredir Mac kullanıcılarının kötü amaçlı yazılım hikayesiydi ve önemli bir uyarı dışında bu durum pek de değişmemiş gibi görünüyor. Siber güvenlikle ilgili pek çok şeyde olduğu gibi, kripto para birimiyle ilgili her şey için tüm bahisler kapalı.
Daha spesifik olarak, günümüzün başlıca kripto tehdidi Kuzey Kore olmaya devam ediyor. Pyongyang merkezli kalıtsal Juche mutlakiyetçi monarşisi, müsrif yaşam tarzını finanse etmek, yaptırımlardan kaçınmak ve kitle imha silahlarını yaymak için kullanabileceği Bitcoin, Monero ve diğer her türlü dijital para birimine karşı doyumsuz bir susuzluğa sahip.
Kuzey Kore’deki Lazarus Group ve diğerlerinin çabalarını daha önce Mac kullanıcılarına odaklamalarına ne engel oldu? Daha önce bilgisayar korsanları, işletim sisteminin Windows’tan daha fazla veya daha az güvenli olması nedeniyle Mac saldırılarından kaçmıyorlardı; bu bir sayı oyunuydu. StatCounter’a göre Windows artık masaüstü işletim sistemi pazar payının %73’ünü kontrol ediyor, onu %15 ile macOS, %4 ile Linux ve %2 ile Chrome OS takip ediyor.
Açık olmak gerekirse, saldırganlar düzenli olarak Mac’e bazı fidye yazılımı türleri ve arka kapılar da dahil olmak üzere kötü amaçlı yazılımlar gönderdi. Öyle bile olsa bunlar, siber suçların sanayileşmiş ölçekte uygulanmasından ziyade genellikle yanlış bilim fuarı projelerine benziyordu.
Saldırganlar, baskın işletim sistemi platformunu hedef alarak paralarının karşılığını en iyi şekilde aldılar; ayrıca Windows, tarihsel olarak çok daha fazla kurumsal kullanıcıya sahip oldu. Bu durum özellikle büyük oyun avcılığı yapan, on milyonlarca dolara varabilecek fidye ödemeleri peşinde daha büyük kurumsal hedefler arayan fidye yazılımı kullanan saldırganlar için geçerli. İşte size bakıyoruz, Change Healthcare ve Caesars Entertainment.
Bugün bile, tipik fidye yazılımı oyunu, bir kurbanın Windows ortamına sızmayı, Active Directory’ye yönetici düzeyinde erişimi ele geçirmeyi ve bunu, yöneticiler “saldırı altındayız” demeden önce yüzlerce veya binlerce bilgisayarı hızla şifrelemek için kullanmayı içerir.
Ancak macOS’un, özellikle kurumsal mülkün ulus devlet ve suçlu saldırganlar için cazip olan kısımlarında pazar payı kazanmasıyla birlikte, zaman değişiyor. Trellix, “Bir satış terminalinin macOS’u kullanması pek olası değildir, oysa geliştiricilerin, bilgi güvenliği uzmanlarının, (S)VP’lerin ve C düzeyindeki yöneticilerin işletim sistemini kullanma olasılıkları daha yüksektir” dedi.
Bu tür kullanıcılar genellikle aynı ortak noktaya sahiptir: yüksek düzeyde erişim ve dolayısıyla ayrıcalıklar. Trellix, saldırganların bu görevleri günlük olarak yapmak için ilgili çalışanlar tarafından halihazırda kullanılan sistemlere sızması durumunda, “Dolandırıcılık işlemleri gerçekleştirmek, gizli bilgilere erişmek veya dahili dijital güvenlik sistemlerini devre dışı bırakmak daha kolay hale gelir” dedi.
Saldırganlar Platformlar Arası Dillerden Yararlanıyor
MacOS’u hedef alan yeni kötü amaçlı yazılım türleri yavaş yavaş artıyor. Trellix, Python, Golang ve Rust da dahil olmak üzere platformlar arası dillerdeki evrimin, kötü niyetli geliştiricilerin kötü amaçlı yazılımları bir kez yazmasına ve bunu birden fazla işletim sisteminde çalışacak şekilde kolayca derlemesine olanak tanıması nedeniyle Mac’lere saldırmanın da kolaylaştığını söyledi.
Bu stratejinin başlıca uygulayıcıları, Kore Demokratik Halk Cumhuriyeti ile bağları olan ve Python, Golang ve Rust gibi platformlar arası programlama dillerini iki katına çıkarmış görünen bilgisayar korsanları olmaya devam ediyor. Sonuç olarak saldırganlar, macOS kullanıcılarını hedeflemek için ayrı ekipler oluşturmak yerine, hedeflemelerini mevcut çabalarına dahil edebilirler.
Kuzey Kore’ye atfedilen platformlar arası kötü amaçlı yazılım örnekleri son yıllarda arttı. Buna, Kuzey Kore’nin Lazarus Grubuna atfedilen ve macOS sürümünün ilk kez 2023’te tespit edildiği, Rust ile yazılmış, platformlar arası RustBucket arka kapısı da dahildir.
Diğer macOS hedefleme kötü amaçlı yazılımları arasında, 2022’nin başlarında ortaya çıkan ve muhtemelen Hong Kong’daki macOS ve iOS cihazlarının politik olarak aktif ve demokrasi yanlısı kullanıcılarını hedef alan saldırılarla bağlantılı olan DazzleSpy da yer alıyor. Araştırmacılar, siber casusluk amaçlı kötü amaçlı yazılımın ele geçirilen sistemlerden bilgi sızdırabileceğini, uzak ekran oturumu başlatabileceğini, saldırganın sağladığı dosyaları diske yükleyebileceğini, ayrıca ses ve tuş vuruşlarını kaydedebileceğini söyledi (bkz.: Demokrasi yanlısı Hong Kong Radyosu aracılığıyla Yeni macOS Kötü Amaçlı Yazılımı Yerleştirildi).
Bilgi Hırsızlarının Kalbi macOS
Mac’ler ayrıca bilgi çalan kötü amaçlı yazılımların artan saldırısına maruz kalıyor. Araştırmacılar, 2023 yılında, saldırganların, ilk olarak 2015 yılında Windows PC’leri hedeflemeye başlayan saygın Xloader bilgi hırsızlığının macOS sürümünü elden geçirdikleri konusunda uyardılar. Kötü amaçlı yazılımın macOS sürümü, “yerel olarak C ve Objective C programlama dillerinde” yazılmış ve bilgileri çalmak üzere tasarlanmıştı. EDR satıcısı SentinelOne’a göre Chrome ve Firefox tarayıcılarından gelen hassas bilgiler
SentinelOne, geçen yıl tespit edilen diğer macOS bilgi hırsızlarının arasında Amos olarak da bilinen Atomic Stealer ve Rust’ta yazılan ve sahte blockchain oyunlarıyla yayılan Realst olarak da bilinen RealStealer’ın yer aldığını söyledi.
Bu yılın ortasında, hem bilgi çalma hem de casus yazılım yeteneklerini bir araya getirdiği görülen Cuckoo Stealer, MetaStealer’ın macOS’u hedefleyen bir versiyonunun (görünüşe göre Redline bilgi hırsızlığının ek yeteneklere sahip bir versiyonu) piyasaya sürülmesinden sonra ortaya çıktı. Uluslararası bir kolluk kuvvetleri operasyonunun yakın zamanda Redline’a ve ilişkili Meta bilgi hırsızlarına sızıp bunları sekteye uğrattığını ve ABD’nin bir Rus vatandaşını operasyonun çekirdek üyesi olmakla suçladığını belirtmekte fayda var (bkz.: Rusya, Redline Infostealer’ı Geliştirdiği İçin ABD Tarafından Suçlanıyor).
Mac kullanıcıları yalnızca kötü amaçlı kodun kendisinden kaynaklanan tehditlerle karşı karşıya kalmıyor, aynı zamanda meşru bir kod tabanını Truva atı haline getirmek için tasarlanmış uyumlu sosyal mühendislik ve tedarik zinciri saldırılarıyla da karşı karşıya kalıyor.
Bu tür bir tedarik zinciri saldırısı, kötü amaçlı yazılım yüklü Python kodunun PyPI açık kaynak deposuna yüklenmesiyle geçen ay ortaya çıktı. Palo Alto’nun Birim 42’sindeki araştırmacılar, saldırıyı orta derecede bir güvenle, “Parıldayan Balık” olarak takip ettiği Kuzey Kore bağlantılı APT grubuna bağladılar. Grubun önceki şöhret iddiası, meşru bir kripto para birimi ticaret hizmetinden geliyormuş gibi görünen AppleJeus kötü amaçlı yazılımının bir sürümünü dağıtmaktı (bkz: Kuzey Kore, PyPI Yoluyla Yazılım Tedarik Zincirini Hedefliyor).
Kuzey Koreli saldırganlar, iş bulma görevlileri gibi davrandıkları sosyal mühendislik saldırılarıyla ilişkilendirildi ve mağdurları, görüntülü arama hizmeti Microtalk için olduğu iddia edilen yazılımı (bunun yerine macOS BeaverTail kötü amaçlı yazılımı) yüklemeleri için kandırmaya çalıştılar (bkz.: İhlal Özeti: Kuzey Koreli Hackerlar macOS Kullanıcılarını Hedefliyor).
Mac’i hedefleyen kötü amaçlı yazılımlar yine Windows hedefleme düzeylerine ulaşmadı. Öyle olsa bile, macOS kullanıcıları ve özellikle finansal kaynaklara erişimi olan ve özellikle kripto para satın almayı veya satmayı seven herkes, sistemlerini tehlikeye atmanın yalnızca kötü niyetli bilgisayar korsanlarının istek listesinde olmadığını, aynı zamanda bunu başarmanın giderek daha kolay olabileceğini bilmelidir.