Kuzey Koreli hacker grubu Famous Chollima, kripto uzmanlarını sahte iş görüşmeleriyle hedef alarak verilerini çalmayı ve cihazlarına kötü amaçlı yazılım yerleştirmeyi amaçladı. Kötü amaçlı yazılım, Metamask, 1Password, NordPass, Phantom, Bitski, Initia, TronLink ve MultiverseX gibi şifre yöneticileri ve kripto cüzdanları dahil 80’den fazla tarayıcı uzantısından kimlik bilgilerini çaldı.
Çarşamba günü, tehdit istihbaratı araştırma firması Cisco Talos, Famous Chollima’nın meşru şirketler gibi davrandığını ve şüphelenmeyen kurbanları, kişisel bilgilerini girdikleri ve teknik soruları yanıtladıkları beceri testi web sitelerine yönlendirdiğini bildirdi. Beceri testi siteleri, Coinbase, Archblock, Robinhood, Parallel Studios, Uniswap ve diğerleri gibi gerçek şirketlerin sahte ön yüzlerini kullanarak hedeflemeye yardımcı oldu. Açık kaynak istihbaratına göre, başta Hindistan’dan olmak üzere sadece birkaç kullanıcı etkilendi. Digital South Belief Direktörü Dileep Kumar H V, bu tür dolandırıcılıklarla mücadele etmek için Hindistan’ın blockchain şirketleri için siber güvenlik denetimleri zorunlu tutması ve sahte iş portallarını izlemesi gerektiğini tavsiye etti. Ayrıca, sınır ötesi siber suçlar ve dijital farkındalık kampanyaları konusunda daha güçlü küresel koordinasyon çağrısında bulundu.
Talos Dolandırıcılığı Takip Ediyor ve Kuzey Kore Bağlantısını Doğruluyor
Siber güvenlik araştırma firması Cisco Talos, “PylangGhost” adlı yeni Python tabanlı uzaktan erişim truva atının, kötü amaçlı yazılımı “Wagemole” olarak da bilinen Kuzey Kore bağlantılı hacker grubu “Famous Chollima” ile ilişkilendirdiğini iddia etti. Firma ayrıca, PylangGhost kötü amaçlı yazılımının, daha önce belgelenen GolangGhost RAT ile işlevsel olarak eşdeğer olduğunu ve aynı yeteneklerin çoğunu paylaştığını açıkladı. Famous Chollima, Python tabanlı varyantı Windows sistemlerini hedeflemek için kullanırken, Golang sürümü macOS kullanıcılarını hedef aldı. Linux sistemleri bu son saldırılardan hariç tutuldu.
Talos’a göre, tehdit aktör grubu 2024’ten beri iyi belgelenmiş çeşitli kampanyalar aracılığıyla aktif durumda. Bu kampanyalar arasında Contagious Interview (diğer adıyla Deceptive Development) varyantlarını kullanmak ve sahte iş ilanları ile beceri testi sayfaları oluşturmak yer alıyordu. Kullanıcılara, nihai beceri testi aşamasını gerçekleştirmek için gerekli sürücüleri yüklemek amacıyla kötü amaçlı bir komut satırını kopyalayıp yapıştırmaları (ClickFix) talimatı verildi.
Mayıs ayında ortaya çıkarılan son dolandırıcılıkta adaylara, bir video görüşmesi için kamera erişimini etkinleştirmeleri talimatı verildi ve video sürücüsü kurulumları gibi görünen kötü amaçlı komutları kopyalayıp yürütmeleri istendi. Böylece, cihazlarında PylangGhost kullanmaya başladılar. Yürütme, birkaç görevi yerine getiren “nvidia.py” dosyasıyla başladı: Bir kullanıcı sisteme her giriş yaptığında RAT’ı başlatmak için bir kayıt defteri değeri oluşturdu, komut ve kontrol (C2) sunucusuyla iletişimde kullanılacak sistem için bir GUID oluşturdu, C2 sunucusuna bağlandı ve sunucuyla iletişim için komut döngüsüne girdi.
Cisco Talos’a göre, “İddia edilen düzeltmeyi indirme talimatları, tarayıcı parmak izine göre farklılık gösteriyor ve ayrıca işletim sistemi için uygun kabuk dilinde veriliyor: Windows için PowerShell veya Komut Kabuğu ve MacOS için Bash.”
Talos, Famous Chollima hackerlarının son zamanlarda fonları doğrudan borsalardan çalmak yerine, kripto firmalarına içeriden sızmak ve bilgi toplamak için kripto profesyonellerine odaklandığını gözlemledi. Bu yılın başlarında, Kuzey Koreli hackerlar, FBI’ın BlockNovas alan adını ele geçirmesinden önce sahte ABD şirketleri BlockNovas LLC ve SoftGlide LLC’yi kurarak dolandırıcı iş görüşmeleri aracılığıyla kötü amaçlı yazılımları dağıttı.
Kuzey Kore Ünlü Hacker Düzenlerinin Merkezi Haline Geliyor
Aralık 2024’te, 50 milyon dolarlık Radiant Capital hack’i, Kuzey Kore DPRK aktörlerinin eski yükleniciler gibi davranarak mühendislere kötü amaçlı yazılım yüklü PDF’ler göndermesiyle başladı. Kimliğe bürünme (veya bürünmeler), üzerinde çalıştıkları yeni bir proje hakkında geri bildirim isteme bahanesiyle bir zip dosyası paylaştı.
Japonya, Güney Kore ve ABD’den yapılan ortak bir açıklama da, Lazarus da dahil olmak üzere Kuzey Kore destekli grupların 2024’te birden fazla kripto soygunuyla en az 659 milyon dolar çaldığını doğruladı. Elçiler, Kuzey Kore’nin denizaşırı işçilerinin, “kötü amaçlı siber faaliyetlere” karışan BT uzmanları da dahil olmak üzere, rejimin kripto dahil fonların çalınması ve aklanması yoluyla silah programlarını finanse etme yeteneğinde önemli bir faktör olduğunu kaydetti.
Chainalysis soruşturma başkan yardımcısı Erin Plante, Kuzey Kore bağlantılı hackerların son birkaç yılda açık ara en üretken kripto hackerları olduğunu doğruladı. 2022’de, 2021’deki 428,8 milyon dolardan artışla, birkaç hack aracılığıyla tahmini 1,7 milyar dolar değerinde kripto çalarak kendi hırsızlık rekorlarını kırdılar.
Ancak Mayıs ayında kripto borsası Kraken, BT pozisyonuna başvuran bir Kuzey Koreli ajanı başarıyla tespit ettiğini ve engellediğini açıkladı. Kraken, başvuru sahibini görüşmeler sırasında temel kimlik doğrulama testlerini geçemediğinde yakaladı.
