Tayland’da düzenlenen Security Analyst Summit etkinliğinde, Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT), BlueNoroff APT grubunun son faaliyetlerini ortaya koydu. “GhostCall” ve “GhostHire” adlı iki hedefli kötü amaçlı kampanya üzerinden yürütülen bu operasyonlar, Nisan 2025’ten bu yana Hindistan, Türkiye, Avustralya başta olmak üzere Avrupa ve Asya’daki çeşitli ülkelerdeki Web3 ve kripto para kuruluşlarını hedef alıyor.
BlueNoroff, kötü şöhretli Lazarus grubunun bir alt birimi olarak, küresel kripto para ekosistemini hedef alan mali amaçlı SnatchCrypto operasyonunu genişletmeyi sürdürüyor. Yeni ortaya çıkarılan GhostCall ve GhostHire kampanyaları ise, blok zinciri geliştiricileri ile üst düzey yöneticileri hedef almak amacıyla gelişmiş sızma yöntemleri ve özel olarak tasarlanmış kötü amaçlı yazılımlar kullanıyor. Bu saldırılar hem macOS hem Windows sistemlerini etkiliyor ve tek bir komuta ve kontrol altyapısı üzerinden yönetiliyor.
GhostCall kampanyası, macOS cihazlarını hedef alıyor ve oldukça sofistike bir sosyal mühendislik yaklaşımıyla başlıyor. Saldırganlar, Telegram üzerinden girişim sermayedarlarını taklit ederek — hatta bazı durumlarda gerçek girişimcilerin ve startup kurucularının ele geçirilmiş hesaplarını kullanarak — yatırım veya ortaklık teklifleri sunuyor. Kurbanlar, Zoom veya Microsoft Teams’i taklit eden sahte yatırım toplantılarına davet ediliyor. Görüşme sırasında “ses sorununu gidermek için” istemcilerini güncellemeleri isteniyor; bu eylem kötü amaçlı bir komut dosyasının indirilmesine ve cihazın enfekte olmasına yol açıyor.
Kaspersky GReAT güvenlik araştırmacısı Sojun Ryu, kampanyaya ilişkin şu değerlendirmede bulundu: “Bu kampanya, dikkatlice planlanmış bir aldatma stratejisine dayanıyordu. Saldırganlar, görüşmelerin gerçek bir toplantı gibi görünmesini sağlamak için önceki kurbanların video kayıtlarını yeniden oynattı. Bu yöntemle yalnızca ilk hedefler değil, aynı zamanda tedarik zinciri üzerindeki diğer kurumlar da tehlikeye atıldı. Toplanan veriler, güven ilişkilerini manipüle etmek ve daha geniş bir yelpazede kullanıcıyı hedef almak amacıyla yeniden kullanıldı.”
Saldırganlar, dördü daha önce hiç görülmemiş olmak üzere yedi çok aşamalı yürütme zinciri kullandı. Bu zincirler, kripto hırsızlığı, tarayıcı kimlik bilgisi hırsızlığı, gizli veri çalma ve Telegram kimlik bilgisi çalma gibi özel olarak tasarlanmış yükler dağıtmak için geliştirildi.
GhostHire kampanyasında ise APT grubu, blok zincir geliştiricilerini işe alım uzmanı kisvesi altında hedef alıyor. Kurbanlar, bir beceri değerlendirmesi olarak sunulan ve kötü amaçlı yazılım içeren bir GitHub deposunu indirip çalıştırmaya ikna ediliyor. GhostHire, altyapısını ve araçlarını GhostCall kampanyasıyla paylaşıyor, ancak video görüşmeleri kullanmak yerine, sahte işe alım süreçleriyle doğrudan geliştirici ve mühendislere yöneliyor.
GhostHire kampanyası saldırı akışı
BlueNoroff’un kötü amaçlı yazılım geliştirme sürecini hızlandırmak ve saldırı tekniklerini geliştirmek için üretken yapay zekadan (Generative AI) yararlandığı tespit edildi. Saldırganlar, yeni programlama dilleri kullanarak ve ek özellikler ekleyerek analiz ve tespit süreçlerini daha karmaşık hale getirdi. Bu durum, grubun operasyonlarını daha geniş ölçekte ve karmaşık bir biçimde yönetmesini mümkün kılıyor.
Kaspersky GReAT kıdemli güvenlik araştırmacısı Omar Amin ise konuyla ilgili olarak şu açıklamada bulundu: “BlueNoroff’un hedefleme stratejisi artık yalnızca kripto para veya tarayıcı kimlik bilgisi hırsızlığıyla sınırlı değil. Üretken yapay zekanın kullanımı, kötü amaçlı yazılım geliştirme sürecini hızlandırarak operasyonel yükü azaltıyor. Yapay zekâ tabanlı bu yaklaşım, bilgi açıklarını doldurarak hedeflemeyi daha odaklı hale getiriyor. Ele geçirilen veriler, yapay zekanın analiz kabiliyetleriyle birleştirildiğinde saldırıların kapsamı genişliyor. Araştırmamızın, bu tür saldırıların yol açabileceği zararı önlemeye katkı sağlayacağını umuyoruz.”
