Velociraptor ve Siber Güvenlik Tehditleri
Son dönemlerde siber güvenlik alanında önemli gelişmeler yaşanmaktadır. Özellikle, Velociraptor adını taşıyan açık kaynaklı dijital adli tıp ve olay müdahale aracı, siber suçlular tarafından kötüye kullanılmaktadır. Bu olaylar, Storm-2603 olarak adlandırılan tehdit aktörleri tarafından gerçekleştirilen ransomware (fidye yazılımı) saldırılarıyla bağlantılıdır. Storm-2603, Warlock ve LockBit fidye yazılımlarını dağıtmakta bilinen bir grup olarak öne çıkmaktadır.
Velociraptor’un Kötüye Kullanımı
Sophos’un raporlarına göre, tehdit aktörleri, on-premises SharePoint zafiyetlerinden yararlanarak ilk erişimi elde etmekte ve eski bir Velociraptor sürümünü (0.73.4.0) kullanarak sistemlere sızmaktadır. Bu eski versiyon, bir ayrıcalık yükseltme zafiyeti olan CVE-2025-6264‘e sahiptir. Bu durum, aktörlerin sistem üzerinde komut yürütmesine ve uç nokta ele geçirmesine olanak tanımaktadır.
Geçtiğimiz yılın ortalarına doğru yaşanan saldırılarda, tehdit aktörlerinin domain admin hesapları oluşturarak hareket ettikleri, ayrıca Smbexec gibi araçlar kullanarak uzaktan programlar başlattıkları gözlemlenmiştir. Veri sızdırmanın yanı sıra, Warlock ve LockBit fidye yazılımlarını da drop ettikleri kaydedilmiştir.
Storm-2603’ün Taktikleri
Storm-2603 grubunun bu süreçte, Active Directory (AD) Group Policy Objects (GPO) ayarlarını değiştirdiği ve sistem korumalarını devre dışı bıraktığı bilinmektedir. Bu durum, tehdit aktörlerinin fark edilmeden uzun süre faaliyet göstermesine olanak sağlamaktadır. Ayrıca, bu grup ilk kez Babuk fidye yazılımının da dağıtımında bağlantılı olarak tespit edilmiştir.
Rapid7, Velociraptor’un kötüye kullanımı konusunda duyarlı olduğunu belirtmiştir. Şirket, bu tür güvenlik araçlarının sadece yanlış ellerde kötüye kullanılması durumunda sorunlar yaratabileceğini ifade etmiştir. Rapid7’nin tehdit analitiği müdürü Christiaan Beek, “Bu davranış bir yazılım hatası değil, bir kötüye kullanım kalıbını yansıtmaktadır” demiştir.
Tehdit Aktörlerinin Kökeni ve Yapısı
Halcyon araştırmalarına göre, Storm-2603’ün bazı bağlantıları, Çin devletine bağlı aktörlerle ilişkilendirilmektedir. Gruptaki teknolojik altyapı gelişimi, profesyonel seviyede geliştirme uygulamaları sergilemektedir. Bununla birlikte, grubun belirli bir sırayla geliştirilmiş fidye yazılımları kullanması ve sürekli iletişim bilgileri paylaşması, onları diğerlerinden ayıran önemli bir unsur olarak belirtilmektedir.
Warlock, LockBit şemasında “wlteaml” adı altında son kayıtlı bağlı olan gruptur. Grubun, toplu fidye yazılımı dağıtımıyla birbirine bağlı bir yapı oluşturduğu düşünülmektedir. Halcyon, bu tehdit aktörlerinin 48 saatlik geliştirme döngüleri kullandığını ve yapılandırılmış bir organizasyon yapısına sahip olduğunu belirtmiştir.
Siber Güvenlikte Yeni Tehditler
Storm-2603 grubu, LockBit ile birlikte çalışarak yeni fidye yazılımlarının geliştirilmesine olanak tanımaktadır. Bu süreç içerisinde, grubun geliştirdiği altyapı, Mart 2025’te kurulmuştur. Gelişmiş siber suçlar, ToolShell zafiyetini kullanarak zero-day saldırılar düzenlemiştir. Halcyon, grubun çalışanlarının LockBit’e geçiş sürecinde oldukça esnek bir yapı geliştirdiğini ve bu esneklik sayesinde saldırılara daha hızlı yanıt verebildiğini ifade etmiştir.
Siber güvenlikteki bu gelişmeler, hem bireyler hem de kurumlar için ciddi bir tehdit oluşturmaktadır. Dolayısıyla, organizasyonların güvenlik önlemlerini güncelleyerek ve eğitimlerini artırarak bu tür saldırılara karşı hazırlıklı olmaları gerekmektedir.
