Kuzey Koreli hackerlar dünya çapında dikkat çeken siber saldırılarla öne çıkıyor. Çoğunlukla ekonomik yaptırımlardan kaçınmak ve ülkenin hedeflerini finanse etmek amacıyla yapılan saldırılar son yıllarda daha da şiddetlendi. Son keşfe göre Kuzey Koreli hackerlar, macOS platformunda yeni bir zararlı yazılım yaymaya çalışıyor.
Jamf araştırmacıları, macOS üzerinde tespit ettikleri zararlı yazılımı, VirusTotal gibi dosya tarama sitelerinde “temiz” olarak işaretlenmiş bir şekilde buldu. Ancak yazılım aslında üç farklı versiyonla geliyordu. Bunlardan biri Go diliyle yazılmış, diğeri Python ile, sonuncusu ise Flutter kullanılarak geliştirilmişti.
Flutter, Google tarafından geliştirilen ve geliştiricilerin tek bir kod tabanıyla iOS, Android gibi platformlar için uygulamalar oluşturmasına imkan tanıyan açık kaynaklı bir framework’lerden bir tanesi. Flutter, çapraz platform uygulamaları geliştirmeyi kolay hale getirkren aynı zamanda saldırganlar için de ideal bir araç olarak kullanılıyor. Flutter’da kod yapısının analiz edilmesini zorlaştırılması kötü niyetli yazılımların daha kolay gizlenmesine imkan veriyor.
Bu zararlı yazılım ilk bakışta GitHub’dan alınmış basit bir Minesweeper (mayın tarlası) oyununu taklit ediyordu. Ancak, bu oyunun gerçek amacı gizlenmiş bir dylib dosyasında bulunan kötü amaçlı yazılımın kullanıcının bilgisayarına yerleştirilmesiydi. Oyun verilen komut sonrasında bir kontrol (C2) sunucusuna bağlanmaya çalışıyordu. Sunucu, mbupdate[.]linkpc[.]net alan adını kullanıyordu. Bu alan adı Kuzey Koreli zararlı yazılımlarına bağlantı sağlıyordu. Neyse ki, Jamf bu bağlantıyı keşfettiği zaman sunucu çalışmıyordu. Sadece “404 Not Found” hatası döndürüyordu.
Zararlı yazılım, AppleScript komutlarını sunucudan almak ve bunları geri çalıştırmak için tasarlanmıştı. Jamf, zararlı yazılımın uzaktan herhangi bir AppleScript komutunu çalıştırabildiğini doğruladı. Bu da saldırganlara sistem üzerinde tam kontrol imkanı verilmesi anlamına geliyordu.
Bu saldırı, büyük ihtimalle test aşamalarından bir tanesiydi. Jamf, hackerların Apple’ın güvenlik savunmalarını aşmak için yeni yollar keşfetmeye çalıştığını açıkladı. Kuzey Koreli hackerlar, macOS kullanıcılarını hedef almak için yaratıcı yöntemler kullanmaya devam ediyor. Bu gelişme, Flutter gibi popüler geliştirme araçlarının, kötü amaçlı yazılımlar tarafından nasıl kullanılabileceğini gözler önüne seriyor.