Ransomware Saldırıları ve Microsoft SharePoint Güvenlik Açıkları
Son zamanlarda, ransomware çeteleri, Microsoft SharePoint’teki bir güvenlik açığı zincirini hedef alan sürekli saldırılara katılmaya başladı. Bu saldırılar, dünya genelinde en az 148 kuruluşun ihlal edilmesiyle sonuçlanan daha geniş bir istismar kampanyasının parçasıdır. Palo Alto Networks’ün Unit 42 güvenlik araştırmacıları, bu SharePoint istismar zinciriyle ilgili olayları analiz ederken, açık kaynaklı Mauri870 koduna dayanan 4L4MD4R isimli bir ransomware varyantı keşfetmiştir.
4L4MD4R Ransomware’ın Keşfi
4L4MD4R ransomware, 27 Temmuz’da bir malware loader tespit edilmesi sonrasında ortaya çıkmıştır. Bu loader, ransomware’i theinnovationfactory[.]it üzerinden indirip çalıştırmaktadır. Loader, hedeflenen cihazdaki güvenlik izlemeyi devre dışı bırakmaya yönelik kötü niyetli PowerShell komutlarını içeren başarısız bir istismar girişiminden sonra fark edilmiştir.
Unit 42, 4L4MD4R yükünün UPX sıkıştırması ile yazıldığını ve GoLang dilinde geliştirildiğini belirtmiştir. Uygulama çalıştırıldığında, bellek içinde AES şifreli yükü çözer, şifrelenmiş PE dosyasını yüklemek için bellek alanı ayırır ve bunu çalıştırmak üzere yeni bir iş parçası oluşturur. 4L4MD4R ransomware, ele geçirilen sistemlerdeki dosyaları şifreleyerek kullanıcılardan 0.005 Bitcoin talep etmektedir. Kullanıcılar, enfekte olan sistemlerde fidye notları ve şifrelenmiş dosya listeleri ile karşılaşmaktadır.
Devlet Destekli Saldırganlar ve Hedefler
Microsoft ve Google, ToolShell saldırılarını Çinli tehdit aktörlerine bağlamıştır. Microsoft’un güvenlik araştırmacıları, bu saldırılarda yer alan üç ayrı devlet destekli hacker grubunu belirtmiştir: Linen Typhoon, Violet Typhoon ve Storm-2603. Bugüne kadar, ABD Ulusal Nükleer Güvenlik İdaresi, Eğitim Bakanlığı, Florida Gelir Departmanı, Rhode Island Genel Meclisi ve Avrupa ile Orta Doğu’daki hükümet ağları gibi birçok yüksek profilli hedef bu kampanya kapsamında ihlal edilmiştir.
Microsoft, “İki isimlendirilmiş Çin ulus-devlet aktörünün, Linen Typhoon ve Violet Typhoon’un, internet üzerinden erişilebilen SharePoint sunucularını hedef alırken bu güvenlik açıklarını istismar ettiğini gözlemledik,” açıklamasında bulunmuştur. Ayrıca, Storm-2603 adı verilen başka bir Çin merkezli tehdit aktörünün de bu güvenlik açıklarını istismar ettiğine dair kanıtlar bulunmaktadır.
Kampanyanın Kapsamı ve Tespitler
Hollandalı siber güvenlik firması Eye Security, CVE-2025-49706 ve CVE-2025-49704 hedef alan ToolShell istismarını ilk olarak tespit etmiştir. Bu sıfır-gün saldırılarında, hükümet kurumları ve çok uluslu şirketler dahil olmak üzere 54 ihlal edilen kuruluş belirlenmiştir. Check Point Research, 7 Temmuz tarihine kadar uzanan istismar söylentilerini ortaya koymuş, bu saldırıların Kuzey Amerika ve Batı Avrupa’daki hükümet, telekomünikasyon ve teknoloji kuruluşlarını hedef aldığını açıklamıştır.
Microsoft, Temmuz 2025 Patch Tuesday güncellemeleriyle iki güvenlik açığını yamanmıştır ve tamamen güncellenmiş SharePoint sunucularını ihlal etmek için istismar edilen iki yeni CVE ID’si (CVE-2025-53770 ve CVE-2025-53771) atamıştır. Eye Security’nin Baş Teknoloji Sorumlusu Piet Kerkhofs, saldırganların en az 400 sunucuyu enfekte ettiğini ve en az 148 kuruluşun ağlarında uzun süre boyunca dolandırıldığını belirtmiştir.
Federal Ajansların Acil Önlemleri
Bunların yanı sıra, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), ToolShell istismar zincirinin bir parçası olan CVE-2025-53770 uzaktan kod yürütme güvenlik açığını, istismar edilmiş hatalar kataloguna eklemiş ve federal ajansların sistemlerini 24 saat içinde güvence altına alması talimatını vermiştir.
Bu tür ransomware saldırıları, sadece hedeflerine ciddi mali kayıplar yaşatmakla kalmamış, aynı zamanda kritik altyapılara ve kamu hizmetlerine yönelik tehditleri de artırmıştır. Dolayısıyla, organizasyonların güvenlik önlemlerini gözden geçirmesi ve sistemlerini düzenli olarak güncellemeleri büyük önem taşımaktadır.
Gelecekte benzer saldırılarda artış yaşanması muhtemel görünmektedir. Bu nedenle BT güvenliği alanında atılacak adımların hızlandırılması ve farkındalığın artırılması kritik bir öncelik haline gelmiştir. Bu bağlamda kullanıcıların ve kuruluşların dikkatli olması, güvenlik politikalarını sıkılaştırmaları ve yeni tehditlere karşı daha hazırlıklı olmaları gerekmektedir.
