Kuzey Kore bağlantılı Konni hacker grubu yapay zekâ ile üretilmiş zararlı yazılımla blokzincir mühendislerini hedef aldı
Kuzey Kore bağlantılı Konni hacker grubunun, blokzincir geliştiricileri ve mühendislerini hedef alan yeni bir siber casusluk kampanyasında yapay zekâ destekli PowerShell zararlı yazılım kullandığı ortaya çıktı. Check Point araştırmacıları, saldırıların Asya-Pasifik bölgesine yoğunlaştığını ve gelişmiş gizleme teknikleri içerdiğini açıkladı.
Siber güvenlik araştırmacıları, Kuzey Kore bağlantılı Konni (Opal Sleet, TA406) hacker grubunun, blokzincir sektöründe çalışan geliştirici ve mühendislere yönelik yeni bir saldırı kampanyası yürüttüğünü tespit etti. Check Point tarafından analiz edilen örneklere göre saldırılarda, yapay zekâ yardımıyla oluşturulduğu değerlendirilen PowerShell tabanlı bir arka kapı zararlısı kullanıldı.
Konni grubunun, APT37 ve Kimsuky faaliyet kümeleriyle bağlantılı olduğu, en az 2014 yılından bu yana Güney Kore, Rusya, Ukrayna ve çeşitli Avrupa ülkelerini hedef aldığı biliniyor. Son kampanyada ise odak noktasının Asya-Pasifik bölgesi olduğu, zararlı yazılım örneklerinin Japonya, Avustralya ve Hindistan kaynaklı olarak sisteme yüklendiği kaydedildi.
Discord bağlantılı oltalama zinciri
Saldırı zinciri, hedef kişilere Discord üzerinden gönderilen bir bağlantı ile başlıyor. Bu bağlantı, içerisinde bir PDF yem dosyası ve zararlı bir LNK kısayol dosyası bulunan ZIP arşivini indiriyor. LNK dosyası çalıştırıldığında, gömülü PowerShell yükleyici devreye giriyor ve bir DOCX belgesi ile arka kapıyı içeren CAB arşivini sisteme çıkarıyor.
Kısayol dosyasının çalıştırılmasıyla DOCX belgesi açılırken, aynı anda zararlı CAB içindeki batch dosyalarından biri çalıştırılıyor. Check Point, yem belgesinin içerik itibarıyla geliştiricilerin çalışma ortamlarını hedef aldığını ve altyapı erişimi, API anahtarları, cüzdan yetkileri ve kripto varlıkların ele geçirilmesini amaçladığını belirtti.
Zamanlanmış görev ve iz silme
İlk batch dosyası, arka kapı için bir hazırlık dizini oluştururken, ikinci batch dosyası OneDrive başlangıç görevi gibi görünen saatlik zamanlanmış bir görev tanımlıyor. Bu görev, disk üzerinde XOR ile şifrelenmiş PowerShell betiğini çözüp bellekte çalıştırıyor ve ardından kendini silerek bulaşma izlerini ortadan kaldırıyor.
Yapay zekâ izleri taşıyan arka kapı
PowerShell arka kapısının; aritmetik tabanlı kodlama, çalışma anında dize oluşturma ve Invoke-Expression kullanımıyla yoğun biçimde gizlendiği aktarıldı. Check Point araştırmacıları, kodun yapısının insan eliyle yazılmış geleneksel zararlı yazılımlardan farklı olduğunu vurguladı.
Araştırmacılar, betiğin başındaki düzenli dokümantasyon, modüler ve temiz kod yapısı ile “# <– your permanent project UUID” ifadesinin, yapay zekâ tarafından üretilmiş kodlarda sıkça görülen bir özellik olduğunu kaydetti. Check Point, “Bu tür ifadeler, büyük dil modellerinin kullanıcıya bir yer tutucunun nasıl özelleştirileceğini anlatan tipik çıktılarıyla örtüşüyor.” değerlendirmesinde bulundu.
Analiz ortamlarına karşı kontroller
Zararlı yazılım çalışmadan önce donanım, yazılım ve kullanıcı etkileşimi kontrolleri yaparak analiz ortamlarında olup olmadığını tespit etmeye çalışıyor. Ardından cihaza özgü bir kimlik oluşturuyor ve yetki seviyesine göre farklı eylem yolları izliyor.
Arka kapı etkin hâle geldikten sonra, rastgele zaman aralıklarıyla komuta-kontrol sunucusuyla iletişime geçerek temel sistem bilgilerini iletiyor. Sunucudan PowerShell kodu içeren bir yanıt alınması hâlinde, bu kod arka planda eş zamanlı olarak çalıştırılıyor.
Konni ile ilişkilendirme
Check Point, saldırıların Konni grubuna atfedilmesini; daha önce görülen yükleyici formatları, yem dosyası isimleri, betik adları ve geçmiş kampanyalarla örtüşen çalıştırma zinciri yapısına dayandırdı. Araştırmacılar, savunma ekiplerinin önlem alabilmesi için kampanyaya ait zararlı göstergelerini kamuoyuyla paylaştı.
Ajans Expres Gazetesi
Tepkiniz Nedir?
