Kuzey Kore bağlantılı gelişmiş bir tehdit aktörü olan TA444 (diğer adlarıyla BlueNoroff, Sapphire Sleet veya CageyChameleon), son derece sofistike bir siber saldırı kampanyasıyla yeniden gündemde. Bu yeni kampanya, kripto para sektöründeki kuruluşları hedef alıyor ve güvenilir görünen takvim planlama (Calendly) ile görüntülü toplantı (Google Meet) araçlarını birer saldırı vektörüne dönüştürüyor. Saldırganlar, özellikle macOS kullanıcılarını hedef alan bu çok aşamalı saldırı zincirinde, derin sosyal mühendislik unsurları, sahte kurumsal toplantılar, deepfake teknolojisi ve gelişmiş zararlı yazılımlar kullanarak büyük ölçekli veri ve kripto para hırsızlığı gerçekleştiriyor.
Saldırının ilk adımı, hedef kişiye Telegram üzerinden ulaşılmasıyla başlıyor. Saldırganlar kendilerini meşru bir iş bağlantısı gibi tanıtıyor ve bir Google Meet toplantısı planlamak için Calendly bağlantısı gönderiyor. Bu adımda, meşru görünen araçlar kullanılarak kurbanın güveni kazanılıyor. Toplantı günü geldiğinde, kurban Google Meet oturumuna katılıyor; burada, kurum içinden tanıdık liderlerin deepfake görüntüleriyle hazırlanmış sahte katılımcılar da yer alıyor. Toplantı sırasında kurbana, mikrofonla ilgili teknik bir sorun yaşandığı ve bunu çözmek için bir Zoom eklentisi indirmesi gerektiği söyleniyor. Paylaşılan bağlantı, Zoom’un resmi sitesi gibi görünen sahte bir domain üzerinden sunuluyor: support.us05web-zoom.biz.
Kurbanın indirdiği zoom_sdk_support.scpt adlı dosya, saldırının ilk aşamasını başlatan bir AppleScript dosyasıdır. Bu dosya, kötü niyetli işlevlerini gizlemek için 10.000’den fazla boş satırla obfuscation (karartma) uygulanmış bir yapıya sahiptir. Script, çalıştırıldığında önce Zoom’un gerçek SDK sayfasını açarak kullanıcının şüphelenmesini engeller, ardından saldırganın kontrolündeki altyapıdan yeni zararlı bileşenleri indirip çalıştırır. Ayrıca, saldırı her iki mimaride (Intel/x86_64 ve Apple Silicon) de çalışabilecek şekilde tasarlanmıştır; Rosetta 2 yüklü değilse otomatik olarak kurulur.
Script, terminal geçmişlerini silerek adli analizden kaçınır, örneğin ~/.bash_history, ~/.zsh_history, ~/.zsh_sessions gibi dosyaları temizler. Sonrasında, sistem şifresini ele geçirebilmek için sürekli sudo pencereleri açar ve geçerli şifre girilene kadar bu işlem devam eder. Bu sayede saldırgan, hedef sistem üzerinde yönetici yetkileri kazanabilir. Ana zararlı bileşen /tmp/icloud_helper dizinine indiriliyor ve tanımlı “cur1-mac-s” user-agent’ı ile önceki BlueNoroff saldırılarıyla eşleşen izler taşıyor.
Son aşamada sistemde kalıcılık sağlamak ve daha derin veri sızıntısı gerçekleştirmek için 8 farklı zararlı bileşen devreye giriyor. Bunlar arasında Nim ile yazılmış kalıcı bir implant olan “Telegram 2”, Go ile yazılmış arka kapı “Root Troy V4”, ekran görüntüsü alma, keylogger, şifre çalma ve kripto cüzdan bilgilerini hedef alan özel modüller bulunuyor. Bu modüller sadece kullanıcıya ait verileri çalmakla kalmıyor; aynı zamanda sistem üzerinde sürekli gözlem yaparak uzun vadeli casusluk faaliyetlerine de olanak tanıyor.
Bu saldırı, klasik phishing yöntemlerinden çok daha ileri düzeyde olup, meşru platformlara olan güveni istismar eden, sabırlı ve hedef odaklı bir sosyal mühendislik stratejisi üzerine kuruludur. TA444, hedeflerin şüphelenmemesi için haftalar süren iletişim kuruyor, toplantılar düzenliyor ve kurbanın profesyonel ortamda olduğunu sanmasını sağlıyor. Kullanılan teknolojiler, saldırganların yalnızca teknik bilgiye değil aynı zamanda insan psikolojisini manipüle etme becerisine de sahip olduğunu gösteriyor.
Sonuç olarak bu kampanya, özellikle kripto para ve finansal teknoloji şirketlerinde görev yapan yöneticilerin ve çalışanların sosyal mühendislik saldırılarına karşı daha dikkatli olması gerektiğini ortaya koyuyor. Takvim bağlantıları, toplantı talepleri, video görüşmeleri ve uygulama indirme önerileri gibi masum görünen içerikler bile, devlet destekli tehdit aktörlerinin elinde gelişmiş saldırı zincirlerinin ilk halkası olabilir. Bu saldırı örneği, meşru görünen araçların ve profesyonel iletişim kanallarının siber tehditlere nasıl dönüştürülebileceğini gösteren çarpıcı bir vakadır.
Kaynak:https://cybersecuritynews.com/north-korean-hackers-using-weaponized-calendly/
