Kaspersky tarafından ortaya çıkarılan GhostCall ve GhostHire kampanyaları, Lazarus Grubu’nun BlueNoroff alt kümesine ait gelişmiş tehdit aktörlerinin macOS ve Windows sistemlerine yönelik sofistike saldırı zincirlerini gözler önüne seriyor. 2017’den beri devam eden SnatchCrypto operasyonunun parçası olan bu kampanyalar, teknoloji ve finans sektöründeki kritik hedeflere odaklanıyor.
GhostCall Kampanyasının Teknik İncelemesi
GhostCall, özellikle Japonya, Türkiye, İtalya, Fransa ve Singapur gibi ülkelerdeki macOS kullanıcılarını hedef alıyor. Saldırı, Telegram üzerinden doğrudan yöneticilere ve girişim sermayesi profesyonellerine Zoom benzeri sahte toplantı davetleri gönderilmesiyle başlıyor. Kurbanlar, Zoom SDK güncellemesi adı altında AppleScript veya Windows PowerShell betikleri indirip çalıştırmaya ikna ediliyor. Bu betikler, DownTroy gibi gelişmiş zararlıları sistemlere yerleştirerek Apple’ın TCC (Transparency, Consent, and Control) mekanizmasını aşabiliyor.
Bu süreçte, GillyInjector kullanılarak Mach-O ikili dosyalarına zararlı kod enjekte ediliyor ve Nim diliyle yazılmış arka kapılar (CosmicDoor, RooTroy, RealTimeTroy, SneakMain) komut ve kontrol sunucularıyla iletişim kuruyor. Ayrıca SilentSiphon adlı bash betik hırsızı, çok sayıda bulut servisi ve geliştirici platformundan kimlik bilgilerini çalmak üzere tasarlanmış. Bu saldırı zincirinde, rastgele SSH portları üzerinden konteynerlere erişim sağlanması ve MCP istemcisi benzeri modüler komut kontrol altyapıları kullanılması da gözlemleniyor.
GhostHire Kampanyasının İşleyişi ve Teknik Özellikleri
GhostHire kampanyası, Web3 geliştiricilerini ve finans sektöründeki işe alımcıları hedef alıyor. Telegram botları aracılığıyla kurbanlara 30 dakikalık sıkı zaman kısıtlamasıyla teknik değerlendirme projeleri gönderiliyor. Bu projeler, GitHub’da barındırılan zararlı Go modüllerine bağımlı olup, işletim sistemine göre PowerShell, bash veya AppleScript tabanlı DownTroy yükleyicilerini tetikliyor. Windows sistemlerde RooTroy, RealTimeTroy ve Rust tabanlı Bof yükleyici gibi ek zararlılar da devreye giriyor.
Kaspersky’nin analizlerine göre, aktörler üretken yapay zeka teknolojilerini (örneğin Pydantic AI) zararlı yazılım geliştirme süreçlerinde kullanarak operasyonel verimliliği artırıyor. Ayrıca, AsyncRAT benzeri uzaktan erişim araçlarıyla birleşik komuta ve kontrol altyapısı işletiliyor. Bu sayede, sadece kripto para ve tarayıcı kimlik bilgileri değil, aynı zamanda işbirliği platformları, not alma uygulamaları ve geliştirme ortamlarından da kapsamlı veri sızdırılıyor.
Sonuç ve Siber Güvenlik Perspektifi
BlueNoroff’un GhostCall ve GhostHire kampanyaları, gelişmiş sosyal mühendislik teknikleriyle birleşen modüler zararlı yazılım zincirleri sayesinde hedef sistemlerde derin erişim sağlıyor. Bu tehdit aktörlerinin kullandığı yöntemler, modern işletim sistemlerinin güvenlik mekanizmalarını aşmakta ve bulut tabanlı altyapılara yönelik saldırıların karmaşıklığını artırmaktadır. Siber güvenlik profesyonelleri için bu kampanyaların detaylı takibi, benzer saldırıların önlenmesi ve tespitinde kritik öneme sahiptir.