Kuzey Koreli Hackerlar 3,100'den Fazla IP'yi Hedef Aldı

Kuzey Koreli Hackerların Yeni Saldırı Stratejisi

Kuzey Kore ile bağlantılı hackerlar, 2025 yılında kripto para piyasasından 2 milyar dolardan fazla çaldıktan sonra, şimdi sahte iş görüşmeleri yoluyla yeni bir siber saldırı kampanyası başlattı. Bu saldırılar, yapay zeka, kripto para ve finans sektörlerinde faaliyet gösteren şirketlere yönelik olarak 3,100'den fazla IP adresini hedef alıyor.

PurpleBravo: Sahte İş İlanlarıyla Saldırı

Saldırıların arkasındaki grup olarak bilinen PurpleBravo, sahte iş ilanları ve kötü amaçlı yazılımlar kullanarak iş arayanları hedef alıyor. Recorded Future'ın Insikt Grubu tarafından yapılan araştırmalara göre, bu saldırılar sonucunda 20'den fazla kurban organizasyon tespit edildi. Bu organizasyonlar, Güney Asya, Kuzey Amerika, Avrupa, Orta Doğu ve Orta Amerika'da yer alıyor.

Sahte Görüşmeler ve Kötü Amaçlı Yazılımlar

Insikt Grubu, “Contagious Interview” adı verilen kampanyanın, kötü niyetli kişilerin iş arayanlara teknik mülakatlar sunduğunu belirtiyor. Bu süreçte, saldırganlar kendilerini kripto ve teknoloji firmalarının temsilcileri olarak tanıtıyor ve adaylardan kod incelemesi, depo kopyalama veya kodlama görevlerini tamamlamalarını istiyor. Bu durum, bazı iş arayanların kurumsal cihazlarda kötü amaçlı yazılımlar çalıştırmasına ve dolayısıyla organizasyonel bir risk oluşturmasına neden olabiliyor.

Hedeflenen IP Adresleri ve Kullanılan Yöntemler

Saldırılar sırasında 3,136 bireysel IP adresinin hedef alındığı tespit edildi. Hackerlar, Çin merkezli komut ve kontrol sunucularını yönetmek için Astrill VPN ve IP aralıklarını kullanıyor. Ayrıca, BeaverTail ve GolangGhost gibi kötü amaçlı yazılımları barındıran 17 hizmet sağlayıcısı da tespit edildi.

Sosyal Mühendislik ve Yanlış Kimlikler

Insikt Grubu, PurpleBravo ile bağlantılı dört çevrimiçi kimliğin, Odessa, Ukrayna'da bulunduğunu iddia ettiğini ve Güney Asya'dan iş arayanları hedef aldığını belirtiyor. Hackerlar, sahte bir token reklamı yapan bir web sitesi kullanarak da kurbanlar çekmeye çalıştı. Ancak, bu token ile ilgili doğrulanmış bir bağlantı kurmak mümkün olmadı.

Uzaktan Erişim Trojanları ve Diğer Tehditler

Saldırıların bir parçası olarak, PylangGhost ve GolangGhost adlı iki uzaktan erişim trojanı da kullanıldı. Bu kötü amaçlı yazılım aileleri, tarayıcı kimlik bilgilerini ve çerezleri çalmayı otomatikleştiren çok platformlu araçlardır. GolangGhost, birçok işletim sistemiyle uyumlu iken, PylangGhost yalnızca Windows sistemlerinde çalışıyor.

Microsoft Visual Studio'daki Tehditler

Son olarak, Kuzey Koreli hackerların Microsoft Visual Studio Code'un silahlandırılmış bir versiyonunu geliştirdiği ve sistemlerde arka kapılar bulabildiği bildirildi. Bu durum, hedeflerin kötü amaçlı bir Git deposunu klonlaması ve açmasıyla başlıyor. Eğer kullanıcı, depo yazarına güvenmeyi kabul ederse, kötü niyetli komutlar sistemde otomatik olarak işleniyor.

Sonuç

Kuzey Koreli hackerların bu yeni saldırı stratejileri, siber güvenlik alanında ciddi tehditler oluşturuyor. İş arayanların dikkatli olması ve şüpheli iş tekliflerine karşı temkinli davranması önem taşıyor. Unutulmamalıdır ki, siber saldırılara karşı korunmak için her zaman güncel güvenlik yazılımları kullanmak ve bilinçli olmak gereklidir.