Haberler 
Coin Bilgisi 
Hakkımızda 
Kuzey Kore bağlantılı *Lazarus* hacker grubu, macOS kullanıcılarını hedef alan yeni kampanyası *‘Mach-O Man’* ile kripto ve fintech şirketlerine yönelik saldırılarını sert biçimde artırdı. Sadece ‘acil toplantı’ daveti üzerinden yürüyen bu sosyal mühendislik saldırılarında, birkaç komut satırı talimatı ile şirket sistemlerine, SaaS panellerine ve doğrudan *kripto cüzdanları*na yetkisiz erişim sağlanabiliyor. Güvenlik uzmanları, özellikle *DeFi* platformları ve kripto girişimlerinin bu yeni dalgaya karşı son derece savunmasız olduğunu vurguluyor.
23’ünde (yerel saatle), siber güvenlik sektöründen aktarılan bilgilere göre Kuzey Kore devlet destekli hacking grubu *Lazarus*, *Mach-O Man* adı verilen yeni operasyonla şirket yöneticileri ve üst düzey çalışanları odak noktasına aldı. CertiK’in blokzincir güvenlik araştırmacısı Natalie Newson, bu kampanyayı “normal iş yazışmaları kılığına girmiş, doğrudan ‘kimlik bilgisi hırsızlığı’ ve ‘veri sızıntısı’na bağlanan çok katmanlı bir saldırı” olarak tanımlıyor.
Araştırmalara göre Lazarus, 2017’den bu yana yaklaşık 6,7 milyar dolar değerinde kripto para çalmış durumda. *yorum Bu rakam, kriptonun küresel ölçekte nasıl ‘devlet destekli’ tehditlerin odağında olduğunu gösteriyor yorum* Son iki haftada ise DeFi projeleri *Drift* ve *KelpDAO*ya yönelik saldırılarda tek başına 500 milyon doların üzerinde bir tutar gasp edildiği bildiriliyor. Bu tablo, *kripto para borsaları*, likidite protokolleri ve saklama (custody) hizmeti veren fintech şirketleri için risk seviyesinin yeniden değerlendirilmeye muhtaç olduğunu ortaya koyuyor.
Yeni kampanyanın merkezinde ‘ClickFix’ adı verilen özel bir sosyal mühendislik tekniği bulunuyor. Saldırganlar, genellikle *Telegram* gibi mesajlaşma uygulamaları üzerinden “acil toplantı” daveti gönderiyor ve hedeflerini Zoom ya da *Google Meet* arayüzüne benzeyen sahte sayfalara yönlendiriyor. Kullanıcılara, “bağlantı hatasını gidermek” için terminale kısa bir komut satırı yapıştırmaları söyleniyor. Kurban bu komutu kopyalayıp çalıştırdığında, saldırganlar anında şirket cihazlarına, bulut hizmetlerine ve kurumsal kripto cüzdan yapılandırmalarına erişim elde ediyor.
Siber güvenlik uzmanı Mauro Eldritch, “Dışarıdan bakıldığında bu süreç, IT ekibinin rutin bağlantı sorunu çözme yönergeleri gibi duruyor. Asıl kritik nokta; kurbanın kendi elleriyle komutu çalıştırması ve böylece saldırıyı ‘meşrulaştırması’” ifadelerini kullanıyor. *yorum Sosyal mühendislikte algı yönetimi, teknik açığa göre çok daha etkili olabiliyor yorum*
*Mach-O Man*, adından da anlaşılacağı üzere macOS’in *Mach-O* ikili dosya formatını hedefleyen modüler bir *macOS kötü amaçlı yazılım* seti olarak tanımlanıyor. Lazarus şemsiyesi altındaki *Chollima* alt grubunca geliştirildiği belirtilen bu zararlı yazılım, özellikle kripto borsaları, DeFi protokollerinin geliştirici ekipleri, saklama hizmeti veren fintech şirketleri ve Web3 girişimlerinin kullandığı Apple tabanlı iş ortamına göre uyarlanmış durumda.
Bazı tespit edilen vakalarda saldırganların, önce DeFi projelerinin *alan adlarını (domain)* ele geçirdiği, ardından meşru siteyi *Cloudflare*’i taklit eden sahte doğrulama sayfaları ile değiştirdiği ortaya çıktı. Bu sahte sayfalar üzerinden ek kimlik bilgileri, cüzdan erişim anahtarları ve yönetici hesapları hedefleniyor. Newson, “Sayfalar görsel ve içerik olarak oldukça ikna edici, prosedür de gerçek güvenlik doğrulama akışlarına çok benziyor. Bu yüzden klasik güvenlik kontrollerine takılmadan ilerleyebiliyorlar” değerlendirmesini yapıyor.
En kritik nokta ise çoğu kurumun saldırıyı fark ettiğinde zaten çok geç kalmış olması. *Mach-O Man* modülleri, çalıştırıldıktan sonra kendini silebilen ve iz bırakmamaya odaklanan bir tasarıma sahip. Böylece olay sonrası adli analiz (forensic) yapmak zorlaşıyor, saldırının kapsamı tam olarak ortaya çıkarılamıyor. Newson, “Çok sayıda kurum, saldırıya uğradığının farkında bile olmayabilir. Fark edenler ise hangi varyantla karşı karşıya olduklarını ve saldırı zincirinin nerede başladığını tespit etmekte ciddi zorluk yaşıyor” diyor.
Bu son dalga, Kuzey Kore’nin ‘kripto para hırsızlığını’ fiilen bir *devlet politikası ve döviz yaratma aracı* haline getirdiğine dair işaretleri güçlendiriyor. Siber güvenlik çevreleri, Lazarus’u artık sadece bir hacker grubu değil, sürekli aktif ve kapsamlı kaynaklara sahip “kalıcı organize tehdit” olarak sınıflandırmak gerektiği uyarısında bulunuyor. Kripto ve fintech şirketlerinin, özellikle *macOS tabanlı çalışma ortamlarında*, toplantı davetleri, üçüncü taraf bağlantı talepleri ve “terminal komutu” içeren tüm yönlendirmelere karşı ek doğrulama süreçleri getirmesi; çok faktörlü kimlik doğrulama, donanım cüzdanları ve detaylı erişim kayıtları ile risklerini azaltması gerektiği vurgulanıyor.
Yorum 0