Çinli Hackerların Saldırı Yöntemleri: Ivanti Endpoint Manager Mobil Zafiyeti
Son zamanlarda, Çinli hackerlar, Ivanti Endpoint Manager Mobile (EPMM) üzerinde buldukları bir uzaktan kod yürütme açığı ile dünya genelinde yüksek profilli kuruluşları hedef alıyor. Bu güvenlik açığı, CVE-2025-4428 olarak belirlenmiş ve yüksek seviye bir tehlike skoru almıştır.
Güvenlik Açığı ve Kullanım Detayları
CVE-2025-4428, 12.5.0.0 ve öncesinde kullanılan Ivanti EPMM sürümleri üzerinde, özel olarak hazırlanmış API istekleri aracılığıyla uzaktan kod yürütmeye olanak tanımaktadır. Ivanti, bu açığı ve bir kimlik doğrulama atlatma açığı olan CVE-2025-4427 ile birlikte, 13 Mayıs 2025 tarihinde kamuoyuna duyurmuş ve her iki açığı da yamanmıştır. Duyuru sırasında, bu iki açığın daha önce “çok sınırlı sayıda müşteri” üzerinde kullanıldığına dikkat çekilmiştir.
UNC5221 Aktivite Kümesi ve Hedef Alınan Kurumlar
EclecticIQ’ın araştırmacısı Arda Büyükkaya, CVE-2025-4428 açığının 15 Mayıs 2025 itibarıyla yaygın bir şekilde kullanıldığını rapor etti. Bu aktivitelerin yüksek bir güvenle UNC5221 aktivite kümesine atfedildiği belirtiliyor. Bu özel tehdit grubu, Ivanti ürünlerindeki sıfır gün güvenlik açıklarını düzenli olarak istismar eden bir uzman olarak tanımlanıyor. Ayrıca, Ocak ve Nisan 2025’te Connect Secure gibi ürünlerdeki güvenlik açıklarına da dikkat çekildi.
Sonuç olarak, UNC5221 tehdit grubunun hedef aldığı kuruluşlar şunlardır:
- İngiltere Ulusal Sağlık Servisi (NHS) kuruluşları
- Kuzey Amerika’daki ulusal sağlık/farmasötik sağlayıcı
- ABD tıbbi cihaz üreticisi
- İskandinavya ve İngiltere’de yerel ajanslar
- Alman Federal Araştırma Enstitüsü
- Alman telekomünikasyon devi ve IT yan kuruluşları
- ABD merkezli siber güvenlik firması
- Büyük ABD gıda hizmetleri dağıtımcısı
- İrlanda havacılık kiralama firması
- Alman sanayi üreticisi
- Japon otomotiv elektroniği ve güç aktarım tedarikçisi
- ABD ateşli silah üreticisi
- Güney Kore çok uluslu ticari ve tüketici bankası
Bu saldırılar, ters kabuklar, veri sızıntıları/veri tabanı ihracı, kalıcı zararlı yazılım enjekte etme ve iç Office 365 belirteçleri ve LDAP yapılandırmalarının kötüye kullanılması gibi kanıtlarla destekleniyor.
Post-Compromise Faaliyetleri ve İstihbarat Toplama
Büyükkaya, BleepingComputer’a verdiği demeçte, gözlemlenen sonrası faaliyetlere dayanarak tehdit aktörünün, stratejik ilgi alanlarına yönelik yüksek değerli hedeflere yönelik casusluk yapma niyetinde olduğunu belirtti. Tehdit aktörü, sistem komutları çalıştırarak cihaz, kullanıcı, ağ ve konfigürasyon dosyaları hakkında bilgi toplamak için ev sahibi keşfi gerçekleştirdi. Ardından, ihlal edilen bir AWS S3 havuzundan KrustyLoader yükünü bıraktı.
Bu komutların çıktısı, tespit edilmekten kaçınmak amacıyla web erişimi olan bir dizinde disguised .JPG dosyası olarak geçici olarak kaydedildi ve hemen silindi. Bu durum, gerçek zamanlı veri sızıntısını işaret ediyor. Sızıntının büyük olasılıkla HTTP GET istekleri aracılığıyla gerçekleştirildiği düşünülüyor.
EclecticIQ raporu ayrıca, UNC5221 tarafından gerçekleştirilen son saldırılarda, Palo Alto Networks’ün Unit 42 tarafından Şubat ayında bildirilen Linux arka kapak olan ‘Auto-Color’a bağlantılar bulunduğunu, ancak o zaman kesin bir atıf yapılamadığını belirtiyor.
Sonuç ve Güvenlik Güncellemelerinin Önemi
Son kurbanları hedef alan saldırılarda, Çinli istihbarat gruplarının, hedef organizasyonlara ilk erişim sağlamak için ağ çevre cihazlarını hedef almaya devam ettiği görülüyor. EclecticIQ’nin gözlemlediği istismarın, kamuya açık duyurudan sadece iki gün sonra başlaması, güvenlik güncellemelerinin bir an önce uygulanmasının önemini vurgulamaktadır. Unutulmamalıdır ki, güvenlik açıklarına karşı yapılan hazırlıklar ve güncellemeler, bir kuruluşun güvenliğinin korunmasında hayati bir rol oynamaktadır.
