Türkiye Bağlantılı Siber Tehdit Aktörlerinin Faaliyetleri
Son yıllarda siber güvenlik alanında yaşanan gelişmeler, tehdit aktörlerinin yöntemlerini hızla evrimleştirmesi ile dikkat çekiyor. Türkiye’ye bağlı bir tehdit aktörü, Output Messenger adı verilen Hint kökenli bir iletişim platformunda bulunan sıfırıncı günden (zero-day) yararlanarak siber casusluk saldırıları gerçekleştirmiştir. Bu saldırılar, Nisan 2024‘ten itibaren başlamış ve özellikle Irak‘ta hedeflenen kullanıcı verilerinin toplanmasına yol açmıştır.
Marbled Dust: Tehdit Grubu Profiline Genel Bakış
Microsoft’un Tehdit İstihbarat ekibi, bu saldırıların daha önce Marbled Dust olarak bilinen bir tehdit grubuna atfedildiğini belirtmiştir. Bu grup, geçmişte Silicon, Cosmic Wolf, Sea Turtle, Teal Kurma, ve UNC1326 gibi isimlerle de anılmıştır. Marbled Dust, en azından 2017 yılından beri aktif olduğu düşünülmektedir. Cisco Talos, bu grubun Orta Doğu ve Kuzey Afrika’daki devlet ve özel sektördeki hedeflere yönelik saldırılarını 2019 yılında belgelemiştir.
Marbled Dust, telekomünikasyon, medya, internet hizmet sağlayıcıları ve bilgi teknolojileri (IT) hizmet sağlayıcıları gibi sektörleri hedef almıştır. Özellikle Irak’taki Kürt askeri ile ilişkili hedeflere yönelmiştir.
Sıfırıncı Gün Açığı ve Kullanılan Yöntemler
Bu saldırılarda kullanılan sıfırıncı gün açığına CVE-2025-27920 denilmektedir. Bu açık, kullanıcıları etkileyen Output Messenger‘ın 2.0.62 versiyonunda bulunan bir dizin geçişi zafiyetidir. Uzaktan saldırganların, sistemdeki rastgele dosyalara erişim sağlamasına olanak tanımaktadır. Bu güvenlik sorunu, geliştirici firma Srimax tarafından Aralık 2024 sonunda 2.0.63 versiyonuyla giderilmiştir. Ancak firma, bu açığın gerçek dünyada istismar edildiği hakkında bir bilgi bulundurmamaktadır.
Saldırı zinciri, tehdit aktörünün Output Messenger Sunucu Yöneticisi uygulamasına yetkili bir kullanıcı olarak erişim sağlamasıyla başlamaktadır. Marbled Dust’ın, kimlik bilgilerini ele geçirmek için DNS yönlendirmesi veya benzer alan adlarını kullanarak teknikler geliştirdiği düşünülmektedir. Elde edilen erişim, kullanıcının Output Messenger kimlik bilgilerini toplamak için kötüye kullanılmakta ve ardından CVE-2025-27920 açığı kullanılarak zararlı yazılımlar dağıtılmaktadır.
Veri Sızdırma ve Gerçekleşen Saldırılar
Saldırgan, OM.vbs ve OMServerService.vbs dosyalarını sunucu başlangıç klasörüne ve OMServerService.exe dosyasını "Users/public/videos" dizinine yerleştirmektedir. Daha sonra, OMServerService.vbs dosyası aracılığıyla OM.vbs ve OMServerService.exe çağrılmaktadır. OMServerService.exe ise bir Golang arka kapısıdır ve verileri sızdırmak için api.wordinfos[.]com olarak bilinen sabit bir domaine bağlanmaktadır.
Saldırının istemci tarafında, OutputMessenger.exe ve OMClientService.exe adlı dosyalar çıkarılıp çalıştırılmaktadır. Bu arka kapı, C2 alanına bağlanmak için bir bağlantı kontrolü yapmaktadır. Başarılı bir bağlantı durumunda, kurbanın tanımlayıcı bilgilerini göndererek yeniden bir GET isteği göndermektedir.
Microsoft, siber güvenlik uzmanları olarak bu tür saldırıların artış gösterdiğini ve tehdit aktörlerinin teknik yeterliliklerinin yükseldiğini belirtmektedir. Bu durum, Marbled Dust grubunun hedef önceliklerini arttırmış olabileceğini işaret etmektedir.
Yeni Keşfedilen Güvenlik Açıkları
Ayrıca, kullanıcıların can güvenliğini tehdit eden başka bir güvenlik açığı olan CVE-2025-27921 de tespit edilmiştir. Bu açık, yansıtılan cross-site scripting (XSS) zafiyetidir. Ancak, bu açığın gerçek dünyada nasıl bir kullanım gördüğüne dair kanıt bulunmamaktadır.
Bu yeni saldırı, Marbled Dust grubunun yeteneklerinde notable bir değişiklik göstermekte ve genel yaklaşımının devam ettiğini ortaya koymaktadır. Sıfırıncı gün açığının başarılı bir şekilde kullanılması, teknik bilgi düzeyinin yükseldiğini göstermektedir. Bu durum, grubun operasyonel hedeflerinin daha acil hale geldiğine ya da hedef önceliklerinin arttığına işaretektedir.
Siber Güvenlikte Alınabilecek Önlemler
Kurum ve bireylerin bu tür tehditlere karşı daha hazırlıklı olabilmesi için güçlü bir siber güvenlik stratejisi oluşturması gerektiği açıktır. Güvenlik yazılımlarının güncel tutulması, zararlı yazılımlar için tarama yapılması ve kullanıcı eğitimlerinin artırılması önem taşımaktadır. Ayrıca, düzenli olarak güvenlik açıklarının kontrol edilmesi ve güncellenmesi kritik bir rol oynamaktadır.
Sonuç olarak, Marbled Dust ve benzeri tehdit grupları, sürekli olarak yeni yöntemler geliştirmekte ve hedeflerine ulaşmak için teknolojiyi kullanmaktadır. Bu nedenle, siber güvenlik alanındaki yeniliklerin sürekli takip edilmesi gerekmektedir.
