Hackerların Mtarihi: UNK_SneakyStrike
Son birkaç ay içerisinde, kötü niyetli siber saldırılar dünya genelindeki birçok kuruluşa yöneldi. Özellikle, TeamFiltration adlı pentesting çerçevesi kullanarak, 80,000’den fazla Microsoft Entra ID hesabına hedef alınmıştır. Bu kampanya, Aralık 2024’te başlamış ve birçok hesabın ele geçirilmesiyle sonuçlanmıştır. Proofpoint adlı siber güvenlik şirketinin araştırmacıları, bu faaliyetlerin bir tehdit aktörüne, yani UNK_SneakyStrike olarak adlandırdıkları bir gruba atfedildiğini belirtmektedir.
Saldırıların Dalgalanmaları
UNK_SneakyStrike kampanyasının en yoğun olduğu dönem, 8 Ocak 2025’tir; bu tarihte tek bir günde 16,500 hesap hedef alınmıştır. Saldırılar, bu keskin patlamaların ardından birkaç gün boyunca duraklamalarla devam etmiştir. Bu dalgalanmalar, siber saldırıların hedef seçimi açısından dikkat çekici bir örnek sunmaktadır.
TeamFiltration Nedir?
TeamFiltration, 2022 yılında TrustedSec kırmızı takım araştırmacısı Melvin Langvik tarafından yayınlanan, O365 EntraID hesaplarını ele geçirme, veri sızdırma ve arka kapı kurma işlemleri için kullanılan çok platformlu bir çerçevedir. UNK_SneakyStrike kampanyasında, TeamFiltration’in büyük ölçekli sızma girişimlerini kolaylaştırmadaki merkezi rolü, bu çerçevenin ne kadar tehlikeli olduğunu gözler önüne sermektedir.
Hedef Belirleme ve Kullanıcı Seçimi
Araştırmacılar, UNK_SneakyStrike’in küçük kiracıların tüm kullanıcılarını hedef alırken, daha büyük kiracılarda yalnızca belirli bir alt gruptaki kullanıcıları seçtiğini rapor etmektedir. Bu durum, saldırganların hedef seçiminde stratejik bir yaklaşım benimsediğini göstermektedir.
Proofpoint, UNK_SneakyStrike faaliyetleri sonucu 80,000’den fazla kullanıcının etkilendiğini ve bu durumun birçok başarılı hesap ele geçirme vakasına yol açtığını açıklamaktadır. Araştırmacılar, kötü niyetli faaliyetlerin TeamFiltration ile ilişkilendirilmesinde kullanılan nadir bir kullanıcı ajanını ve aracın mantığındaki sabit kodlanmış OAuth istemci kimliklerini belirleyerek bu bağlantıyı kurmuşlardır.
Teknik İpuçları ve Gözlem Yöntemleri
TeamFiltration çerçevesinde bulunan diğer belirgin işaretler arasında, uyumsuz uygulamalara erişim kalıpları ve Secureworks’ün FOCI projesinin güncel olmayan bir anlık görüntüsünün kod içinde gömülü bulunması sayılabilir. Saldırganlar, saldırıları başlatmak için AWS sunucularını, çeşitli bölgelerde kullanmış ve Microsoft Teams API‘sini istismar etmek için Business Basic lisansına sahip bir "kurban" Office 365 hesabı kullanmışlardır.
Saldırıların Coğrafi Dağılımı
Saldırıların büyük bir kısmı Amerika Birleşik Devletleri‘nden (%42) gelirken, bunu %11 ile İrlanda ve %8 ile İngiltere takip etmektedir. Bu veriler, siber güvenlik tehditlerinin coğrafi olarak nerelerden yoğunlaştığını gösterirken, her kuruluşun saldırılara karşı hazırlıklı olmalarının ne kadar kritik olduğunu da gözler önüne sermektedir.
Öneriler ve Önlemler
Kuruluşların, Proofpoint’un tehlike göstergeleri bölümünde listelenmiş olan tüm IP adreslerini engellemeleri ve TeamFiltration kullanıcı ajan dizgisi için tespit kuralları oluşturmaları önerilmektedir. Ayrıca, tüm kullanıcılar için çok faktörlü kimlik doğrulama etkinleştirilmeli, OAuth 2.0 zorunlu hale getirilmeli ve Microsoft Entra ID’de koşullu erişim politikaları uygulanmalıdır.
Bu önlemler, kuruluşların siber güvenliklerine katkıda bulunarak, kötü niyetli saldırılara karşı daha dayanıklı hale gelmelerine yardımcı olacaktır. Saldırların karmaşıklığına ve yayılma hızına bakıldığında, siber güvenlik konusunda sürekli bir dikkat ve proaktif bir yaklaşımın gerekliliği belirgin bir biçimde ortaya çıkmaktadır.
Sonuç olarak, UNK_SneakyStrike kampanyası, siber güvenlik alanında yeni bir tehdit modeli olarak dikkat çekmektedir ve bu tür tehditlere karşı hazır olmak her kuruluş için kritik bir gereklilik haline gelmiştir.
