Olay ve Önemi
Son dönemde gerçekleşen bir siber saldırı, büyük bir küresel borsa yöneticisinin Outlook posta kutusuna gizlice yerleşmiş bir grup saldırganın faaliyetlerini ortaya koydu. Bu durum, kurumsal verilerin korunmasının önemini bir kez daha gözler önüne seriyor.
Saldırı Nasıl Çalışıyor?
Saldırganlar, son derece sessiz bir şekilde 5 ay boyunca bir yöneticinin Outlook posta kutusuna erişim sağladı ve verileri düşük profille, normal bulut trafiğiyle harmanlayarak kopyaladı. Symantec ve Carbon Black tarafından bildirilen bu saldırıda, ilk kötü niyetli faaliyetler 10 Ekim 2025 tarihinde gözlemlendi. Saldırgan, Adobe güncelleyicisini taklit eden ve OneDrive ‘ı taklit eden iki ikili programı SYSTEM (Windows’un en yüksek yetki düzeyi) olarak çalıştırıyordu. Saldırganların makineye ilk nasıl girdiği ise hâlâ bilinmiyor.
Saldırganlar, 11 Kasım 2025 tarihinde sızıntıyı hızlandırmış ve Dropbox API token’ını alarak verileri curl ile yüklemeye başlamışlardı. Ayrıca, Outlook OST ve PST dosyalarını okuyabilen yasal bir .NET kütüphanesi olan Aspose üzerine inşa edilen bir postamail hırsızı kullandılar. Bu araç,ların hepsi, verileri dikkat çekmeyecek şekilde parça parça almak amacıyla planlanmış görevler olarak düzenlendi.
Etkilenen Sistemler
Bu saldırı, özellikle aşağıdaki sistemler üzerinde etkili olmuştur:
- Microsoft Outlook
- Dropbox ve OneDrive bulut depolama hizmetleri
- Windows işletim sistemi
Saldırganların, Windows üzerindeki görev denetimlerini atlatmak için çeşitli araçlar kullandıkları ve ayrıca Windows Kullanıcı Hesabı Kontrolü‘nü aşmak için başka yöntemler denedikleri tespit edilmiştir.
Çözüm ve Korunma
Bu tür bir saldırı, taze bir güvenlik açığı kullanılarak gerçekleştirilmediği için, doğrudan çözüm sağlamaz; bunun yerine sürekli bir izleme ve tepki mekanizmasına ihtiyaç vardır. Aşağıdaki önlemler alınmalıdır:
- Posta kutusu erişimlerini düzenli olarak denetleyin.
- Şüpheli Dropbox veya OneDrive aktivitelerini izleyin.
- Olağan dışı Outlook erişimlerini sorgulayın.
- Yetkili kullanıcı sistemlerinde kimlik bilgilerini boşaltma girişimlerine karşı tedbirli olun.
Saldırı altındaki kurumsal yöneticiler ve düzenleyiciler, acilen belirtilen hash’ler üzerinden davranış izleme ve güvenlik doğrulama süreçlerini devreye almalıdır.
Sonuç
Eğer bir borsa, düzenleyici veya piyasa hareketleri ile ilgili bilgileri barındıran bir firmada çalışıyorsanız, acilen yazılımları güncelleyin ve potansiyel tehditleri izleyin. Ayrıca, gerekirse portları kapatarak güvenlik önlemlerinizi artırın. Herhangi bir istisnai durum tespit ettiğinizde, güvenlik ekiplerinize bildirin.
