Lazarus Group'tan Yeni Tehdit, Mach-O Man Saldırıları Başladı

Kripto para ve finans dünyasını yakından ilgilendiren önemli bir güvenlik uyarısı yapıldı. Kuzey Kore destekli siber suç örgütü Lazarus Group, “Mach-O Man” adını verdiği yeni ve sofistike bir kampanya başlattı. Güvenlik uzmanlarına göre, bu yeni operasyon, rutin iş iletişimlerini hedef alarak kurumların ve üst düzey yöneticilerin kimlik bilgilerini çalmayı ve veri kaybına yol açmayı amaçlıyor. Bu gelişme, siber güvenlik tehditlerinin ne denli evrim geçirdiğini bir kez daha gözler önüne seriyor.

Lazarus'un Yeni Nesil Silahı: Mach-O Man

2017 yılından bu yana toplamda yaklaşık 6.7 milyar dolar değerinde kripto varlık çaldığı tahmin edilen Lazarus Group, özellikle finans teknolojileri (fintech) ve kripto para sektöründeki üst düzey yöneticileri ve firmaları hedef alıyor. CertiK'in kıdemli blok zinciri güvenlik araştırmacısı Natalie Newson, örgütün aktivite seviyesinin şu anda son derece tehlikeli boyutlara ulaştığını vurguladı. Mach-O Man, Lazarus Group’un ünlü Chollima bölümü tarafından geliştirilen, modüler bir macOS kötü amaçlı yazılım kiti olarak öne çıkıyor. Bu zararlı yazılım, özellikle Apple ortamlarında çalışan kripto ve fintech şirketlerini hedef alacak şekilde tasarlanmış yerel Mach-O ikili dosyalarını kullanıyor.

Sosyal Mühendisliğin Sinsi Yüzü: ClickFix Metodu

Mach-O Man'in yayılma yöntemlerinden biri "ClickFix" olarak adlandırılıyor. Newson, bu yöntemin birçok haberde karıştırıldığını belirterek açıklık getirdi: ClickFix, kurbanın simüle edilmiş bir bağlantı sorununu düzeltmek için terminaline bir komut yapıştırmasının istendiği bir sosyal mühendislik tekniği. Tehdit istihbarat firması BCA Ltd. kurucusu Mauro Eldritch'e göre, saldırganlar yöneticilere Telegram üzerinden acil bir Zoom, Microsoft Teams veya Google Meet toplantı daveti gönderiyor. Bu davet, kurbanları sahte ancak ikna edici bir web sitesine yönlendiriyor. Web sitesi, bir "bağlantı sorununu gidermek" amacıyla Mac bilgisayarlarının terminaline basit bir komut kopyalayıp yapıştırmalarını istiyor. Kurbanlar bu komutu çalıştırdıklarında, kurumsal sistemlere, SaaS platformlarına ve finansal kaynaklara anında erişim izni vermiş oluyorlar. Genellikle sömürüldüklerini fark ettiklerinde ise çok geç kalınmış oluyor.

Kapsam ve Kurbanlar: Son Saldırılar ve Artan Riskler

Siber güvenlik tehdit araştırmacısı Vladimir S.'nin belirttiğine göre, bu tür saldırıların birçok farklı varyasyonu bulunuyor. Hatta Lazarus saldırganlarının bu yeni kötü amaçlı yazılımla merkeziyetsiz finans (DeFi) projelerinin alan adlarını ele geçirdiği, web sitelerini sahte bir Cloudflare mesajıyla değiştirerek kurbanlardan erişim izni verecek bir komut girmelerini istedikleri vakalar bile mevcut. Sadece son iki hafta içinde, Kuzey Koreli hackerlar, Drift ve KelpDAO saldırılarından 500 milyon dolardan fazla kripto varlığı ele geçirdi. Newson, kripto endüstrisinin Lazarus'u, bankaların ulus devlet destekli siber aktörlere baktığı gibi, "sürekli ve iyi finanse edilen bir tehdit" olarak görmeye başlaması gerektiğini belirtiyor. Bu "sahte doğrulama adımları", kurbanları zararlı bir komutu çalıştıran klavye kısayollarına yönlendiriyor. Sayfa gerçekçi görünüyor, talimatlar normal geliyor ve kurban eylemi kendisi başlatıyor; bu da geleneksel güvenlik kontrollerinin genellikle bunu gözden kaçırmasına neden oluyor. Çoğu kurban, zararlı yazılım kendini silmiş olsa bile, hasar gerçekleşene kadar güvenliklerinin ihlal edildiğini fark etmiyor.

Editör Yorumu:

Kuzey Kore destekli Lazarus Group'un “Mach-O Man” kampanyası, siber güvenlik tehditlerinin evrimindeki kritik bir aşamayı temsil ediyor. Bu saldırı, sadece teknolojik bir açık yakalamaktan öte, insan faktörünü manipüle eden sofistike bir sosyal mühendislik stratejisi olan ClickFix'i kullanarak, en temel güvenlik katmanlarından biri olan kullanıcı farkındalığını hedef alıyor. Özellikle kripto ve fintech gibi yüksek değerli varlıkların bulunduğu sektörlerde, kurumların ve bireylerin siber hijyen konusunda gösterdikleri özen, bu tür organize tehditlere karşı ilk ve en önemli savunma hattı haline gelmiştir.

Saldırıların macOS gibi genellikle daha güvenli olduğu düşünülen platformları hedef alması, hiçbir sistemin mutlak koruma altında olmadığını gösteriyor. Drift ve KelpDAO'dan çalınan 500 milyon dolarlık varlık, bu tür saldırıların potansiyel yıkıcı etkisini net bir şekilde ortaya koyuyor. Kripto ekosisteminin, Lazarus Group gibi aktörleri sıradan bir haberden ziyade, devlet destekli ve sürekli bir tehdit olarak algılaması, proaktif güvenlik stratejileri geliştirmesi ve kullanıcılarını sürekli eğitmesi gerekmektedir. Bu gelişmeler, sektördeki güven algısını kısa vadede zedeleyebilir ancak uzun vadede daha sağlam güvenlik protokollerinin geliştirilmesine yol açabilir.

Editör Notu: Bu haber Bivizyoner editörleri tarafından bağımsız olarak hazırlanmış ve analiz edilmiştir.