UNC1069 Grubu, Yapay Zeka Destekli Sosyal Mühendislik ile Kripto Para Sektörünü Hedefliyor

Anasayfa » UNC1069 Grubu, Yapay Zeka Destekli Sosyal Mühendislik ile Kripto Para Sektörünü Hedefliyor
APT, Sosyal Mühendislik, Zararlı Yazılım
Şubat 12, 2026Şubat 12, 2026Tarafından Cybernews.TR
0
UNC1069 Grubu, Yapay Zeka Destekli Sosyal Mühendislik ile Kripto Para Sektörünü Hedefliyor

Saldırının Genel Çerçevesi

UNC1069 adlı tehdit grubu, özellikle kripto para sektöründeki yazılım geliştiriciler, girişim sermayesi yatırımcıları ve startup kurucularını hedef alan karmaşık sosyal mühendislik saldırıları gerçekleştiriyor. En az 2018’den beri aktif olan grup, Telegram üzerinden ele geçirilmiş hesaplar ve sahte yatırımcı profilleriyle kurbanlara yaklaşıyor. Toplantı davetleri Calendly üzerinden planlanıyor ve kurbanlar, gerçek Zoom toplantılarına çok benzeyen sahte web sitelerine yönlendiriliyor.

Bu sahte toplantılarda yapay zeka ile oluşturulmuş derin sahte (deepfake) videolar kullanılıyor. Kurbanların web kameraları habersizce kaydedilerek, diğer potansiyel hedefleri kandırmak için tekrar oynatılıyor. Saldırı zinciri, sahte ses sorunu uyarıları ve ClickFix tarzı kötü amaçlı komutların indirilmesiyle devam ediyor.

Saldırı Zinciri ve Teknik Detaylar

Grup, saldırılarda yedi farklı kötü amaçlı yazılım ailesi kullanıyor: SILENCELIFT, DEEPBREATH, CHROMEPUSH, WAVESHAPER, HYPERCALL, HIDDENCALL ve SUGARLOADER. Bunlar arasında C++ ve Go dillerinde yazılmış arka kapılar, veri madencileri ve indiriciler yer alıyor. Örneğin DEEPBREATH, macOS’un TCC veritabanını manipüle ederek iCloud Anahtarlık ve popüler uygulamalardan veri çalıyor. CHROMEPUSH ise Google Chrome ve Brave tarayıcılarında çalışan, klavye dinleme ve çerez hırsızlığı yapan bir tarayıcı uzantısı olarak görev yapıyor.

Saldırı zinciri genel olarak şu adımlardan oluşuyor: Telegram üzerinden hedef seçimi ve iletişim, Calendly ile toplantı planlama, sahte Zoom sitesi ve yapay zeka destekli video ile sosyal mühendislik, ClickFix benzeri kötü amaçlı komutların indirilmesi, ardından çeşitli zararlı yazılımların sisteme yerleştirilmesi ve veri hırsızlığı.

Siber Güvenlik Ekipleri İçin Öneriler

  • Telegram ve diğer mesajlaşma uygulamalarındaki şüpheli bağlantılar için URL filtreleme ve analiz uygulayın.
  • Çok faktörlü kimlik doğrulama (MFA) kullanarak hesap ele geçirme riskini azaltın.
  • EDR çözümleri ile ClickFix tarzı komutların ve bilinmeyen yürütülebilir dosyaların davranışlarını izleyin.
  • Zoom ve benzeri toplantı uygulamalarının resmi URL’lerini kullanıcılarınızla paylaşarak sahte sitelere karşı farkındalık oluşturun.
  • macOS sistemlerde TCC veritabanı erişimlerini ve AppleScript aktivitelerini düzenli olarak denetleyin.
  • Tarayıcı uzantılarının kurulumunu merkezi olarak kontrol edin ve bilinmeyen uzantıları engelleyin.
  • SIEM sistemlerinde Telegram, Zoom, Calendly ve şüpheli ağ trafiği loglarını detaylı inceleyin.
  • Olay müdahale planlarınızda yapay zeka destekli sosyal mühendislik senaryolarına karşı hazırlıklı olun.

Kurumsal Ortamlarda Olası Senaryo

Örneğin bir kripto para startup’ında çalışan bir yazılım geliştirici, Telegram üzerinden kendisine gelen sahte yatırımcı davetiyle bir Zoom toplantısına katılmaya ikna edilir. Toplantı sırasında derin sahte video ile karşılaşır ve ClickFix tarzı bir komut dosyası indirir. Bu komut, sistemde SILENCELIFT ve DEEPBREATH gibi zararlıları aktif hale getirir. Sonuçta, geliştiricinin iCloud anahtarları, tarayıcı çerezleri ve kimlik bilgileri çalınır. Bu durum, şirketin finansal verilerinin ve müşteri bilgilerinin sızmasına yol açabilir.

Bu tür saldırılar, özellikle bulut güvenliği ve ağ segmentasyonu stratejilerinin zayıf olduğu kurumlarda daha büyük risk oluşturur. Ayrıca, e-posta güvenliği ve olay müdahale süreçlerinin etkinliği, zararlı yazılımların erken tespiti ve yayılmasının önlenmesi açısından kritik öneme sahiptir.

, , , , , , ,