Librarian Ghouls Hacker Grubu, Rus Cihazlarını Kripto Madenciliği İçin Ele Geçiriyor

Kaspersky'nin raporuna göre, Librarian Ghouls adlı hacker grubu Rusya’daki yüzlerce cihazı gizlice ele geçirerek gece saatlerinde kripto madenciliği yapıyor. Oltalama e-postalarıyla bulaşan zararlı yazılımlar, sistem kaynaklarını kullanarak fark edilmeden kripto üretimi gerçekleştiriyor. Grup hacktivist olabilir.

Siber güvenlik firması Kaspersky, Rusya merkezli yüzlerce cihazın gizlice kripto para madenciliği için kullanıldığını ve saldırının arkasında “Librarian Ghouls” adlı hacker grubunun olduğunu açıkladı. “Rare Werewolf” olarak da bilinen grup, phishing (oltalama) saldırıları yoluyla kullanıcı sistemlerine sızarak kripto madenciliği (cryptojacking) faaliyetlerinde bulunuyor.

Rapora göre saldırılar özellikle sanayi kuruluşları ve mühendislik okullarını hedef alıyor. Saldırının Aralık 2024’ten bu yana aktif olduğu ve halen sürdüğü belirtiliyor.

📧 Sahte Belgelerle Bulaşan Zararlı Yazılım

Kaspersky’ye göre saldırılar, Rusça yazılmış oltalama e-postaları ile başlıyor. Bu e-postalar genellikle fatura bildirimleri, ödeme emirleri ya da resmi belgeler kılığına sokularak kurbanlara gönderiliyor. Eklerde ise zararlı yazılımlar bulunuyor.

Kurbanın cihazına bulaşan zararlı yazılım, sistemde uzaktan bağlantı kuruyor ve Windows Defender gibi güvenlik sistemlerini devre dışı bırakıyor. Ardından hacker’lar sistemdeki işlemci, RAM ve ekran kartı özelliklerini analiz ederek kripto madenciliğine en uygun yapılandırmayı uyguluyor.

🌙 Gece Çalışan Sessiz Madencilik: 01.00 - 05.00

İncelenen vakalarda zararlı yazılımın, cihazları gece 01:00’de otomatik olarak açtığı ve 05:00’te kapattığı tespit edildi.

Bu zaman aralığında cihaz:

Kullanıcının bilgisi dışında çalışıyor

Madencilik havuzuna her 60 saniyede bir bağlantı gönderiyor

Cihazın kaynaklarını kullanarak kripto para üretimi yapıyor

Aynı anda oturum bilgilerini ve e-posta hesaplarını da çalıyor

Kaspersky, bu yöntemin saldırganların izlerini gizlemek için kullanıldığını, kullanıcıların cihazlarının ele geçirildiğini fark etmemesi üzerine kurulu olduğunu belirtiyor.

🌍 Saldırılar Sadece Rusya ile Sınırlı Değil

Kaspersky raporuna göre saldırıların öncelikli hedefi Rusya olsa da, Belarus ve Kazakistan gibi ülkelerde de benzer vakalara rastlandı. E-postaların Rusça yazılmış olması, arşivlerin Rusça dosya isimleri taşıması ve yem belgelerin yerel bağlama uygunluğu, saldırıların özellikle Rusça konuşan kullanıcıları hedeflediğini gösteriyor.

👁️‍🗨️ Hacktivist mi, Profesyonel Aktör mü?

Kaspersky, bu grubun motivasyonu hakkında net bir bilgi olmadığını, ancak kullandıkları araçların benzer “hacktivist” gruplara işaret ettiğini ifade ediyor. Özellikle:

Kendi kötü amaçlı yazılımlarını üretmek yerine mevcut ve yasal 3. parti yazılımları tercih etmeleri

Uzun süredir aynı yapı ile çalışmaları

Siyasi/ideolojik motivasyona işaret eden hedeflemeler

Bu veriler, grubu politik amaçlı hackleme (hacktivizm) kategorisine yaklaştırıyor. Ancak finansal kazanç (madencilik) motivasyonu da göz ardı edilemiyor.

📌 Özet: Kripto Madenciliği Siber Tehdidin Yeni Yüzü

Librarian Ghouls adlı hacker grubu, 2024’ten bu yana yüzlerce cihazı ele geçirerek kripto madenciliği yapıyor

Saldırılar özellikle Rusya’daki sanayi ve eğitim kurumlarını hedefliyor

Kullanıcı farkında olmadan cihazı gece saatlerinde kripto üretiminde kullanılıyor

Elde edilen tüm bilgi ve oturum verileri siber suçluların eline geçiyor

Grubun hacktivist olabileceği düşünülse de kimliği hâlâ net değil