Haberler 
Coin Bilgisi 
Hakkımızda 
Kuzey Koreli hacker grubu Lazarus, ‘Mach-O Man’ adı verilen yeni bir saldırı kampanyasıyla kripto para ekosistemine yönelik *tehdidini* tırmandırıyor. Bu kez sıradan bir *saldırı* kampanyasından öte, şirket içi ‘günlük iş iletişimi’ni ana sızma kanalı olarak kullanmaları dikkat çekiyor. Uzmanlara göre bu yöntem, özellikle *kripto para* ve *fintek* sektöründe fark edilmeden yayılan, zincirleme *zarar* riskini büyütüyor.
23’ünde (yerel saatle), siber güvenlik çevrelerinden gelen bilgilere göre Lazarus, son dönemde fintek ve kripto para şirketlerindeki üst düzey yöneticileri hedef alarak macOS tabanlı yeni bir *kötü amaçlı yazılım kiti* ‘Mach-O Man’i dağıtıyor. Blokzincir güvenlik şirketi CertiK’in baş araştırmacısı Natalie Newson(Natalie Newson), “Bu saldırı, kurumsal iletişim kanallarını istismar ederek doğrudan *kimlik bilgisi hırsızlığı* ve *veri sızıntısına* kapı açıyor” yorum dedi.
Lazarus’un 2017’den bu yana yaklaşık 6,7 milyar dolar tutarında fon çaldığı tahmin ediliyor. Güvenlik şirketlerinin derlediği verilere göre grup, yalnızca son iki hafta içinde DeFi projeleri Drift ve KelpDAO’ya yönelik saldırılarla 500 milyon doların üzerinde *kripto varlık* ele geçirdi. Analistler, bu tabloyu tek seferlik vakalar yerine ‘sürekli işleyen, devlet destekli finans operasyonu’ olarak nitelendiriyor.
Saldırı kampanyasının merkezinde, ‘ClickFix’ adı verilen yeni bir *sosyal mühendislik* tekniği bulunuyor. Saldırganlar önce Telegram üzerinden ‘acil toplantı’ davetleri yolluyor, ardından Zoom, Microsoft Teams veya Google Meet bağlantısı gibi görünen sahte bir toplantı sayfasına yönlendiriyor. Bu sayfalarda, “bağlantı hatasını çözmek” gerekçesiyle kullanıcılardan kısa bir komutu macOS Terminal’e yapıştırmaları isteniyor.
Uzmanların tespitlerine göre kurban bu komutu çalıştırdığı anda, saldırganlar şirket içi sistemlere, SaaS hesaplarına ve *finansal varlıklara* doğrudan erişim elde ediyor. Güvenlik araştırmacısı Mauro Eldritch(Mauro Eldritch), “Bağlantı ve sayfalar son derece özenli hazırlanmış durumda, kullanıcının kendi elleriyle saldırıyı başlatmasını sağlıyor” yorum yaparken, bu yöntemin geleneksel güvenlik çözümleriyle tespit edilmesinin zor olduğuna dikkat çekiyor.
‘Mach-O Man’, Lazarus’un alt birimi olarak bilinen ‘Chollima’ grubu tarafından geliştirilen modüler bir *kötü amaçlı yazılım* paketi. Apple macOS ortamına özel Mach-O ikili dosyaları kullanarak çalışıyor ve özellikle kripto para ile fintek şirketlerinde yaygın olan altyapıları hedef alacak şekilde tasarlanmış durumda. Güvenlik raporlarına göre saldırganlar, DeFi projelerine ait alan adlarını da ele geçirip saldırıyı buradan derinleştirebiliyor.
Tespit edilen bir vakada saldırganlar, ele geçirilen DeFi projesi alan adında Cloudflare uyarısı gibi görünen bir sayfa gösterdi. Bu sahte sayfa üzerinden kullanıcılara “ağ sorununu çözmek için” komut girme talimatı verildi ve komut çalıştırıldığında sitenin kontrolü Lazarus’a geçti. Newson, “Sayfa dışarıdan tamamen normal görünüyor, talimatlar da makul duruyor. Komutun bizzat kullanıcı tarafından girilmesi nedeniyle birçok güvenlik çözümü bu adımı atlıyor” yorum değerlendirmesinde bulundu.
Saldırının en kritik boyutlarından biri de, enfeksiyon sonrasında *izlerin silinmesi*. Uzmanlara göre Mach-O Man, görevini tamamladıktan sonra kendini otomatik olarak kaldıracak şekilde tasarlanmış. Bu nedenle birçok şirket, saldırıya uğradığını çok geç fark ediyor veya saldırının tam olarak nasıl gerçekleştiğini geriye dönük analiz etmekte zorlanıyor. Newson, “Çoğu kurban, ciddi kayıplar yaşandıktan sonra durumu fark ediyor. Fark ettiklerinde bile hangi varyantla vurulduklarını net biçimde tespit edemiyorlar” yorum diyor.
Güvenlik çevreleri, ‘Mach-O Man’ kampanyasını Kuzey Kore’nin kripto para *saldırılarını* devlet düzeyinde bir ‘gelir modeli’ne dönüştürdüğünün son göstergesi olarak yorumluyor. Sektörde giderek daha güçlü biçimde dile getirilen uyarı, Lazarus’un artık tekil ve geçici bir tehdit değil, her an devrede olan, sofistike bir ‘devlet destekli siber saldırı birimi’ olarak görülmesi gerektiği yönünde. Kripto para ve fintek şirketlerine, özellikle şirket içi iletişim kanalları, toplantı davetleri ve Terminal komutları konusunda *farkındalık eğitimlerini* ve *güvenlik protokollerini* acilen güncellemeleri tavsiye ediliyor.
Yorum 0