Giriş
Rusya destekli tehdit aktörleri, Türkiye’deki bir enerji ve nükleer araştırma ajansıyla, Avrupa’daki bir düşünce kuruluşu ve Kuzey Makedonya ile Özbekistan’daki organizasyonlarla bağlantılı bireyleri hedef alan yeni bir kimlik avı saldırısı gerçekleştirmiştir. Bu saldırıların, APT28 (BlueDelta) grubu tarafından gerçekleştirildiği belirlenmiştir ve siber güvenlikte önemli bir endişe kaynağı olmaktadır.
Saldırı Nasıl Çalışıyor?
Saldırılar, Ocak 2025’te CVE-2025-XXXX ve CVE-2025-YYYY referanslı kampanyalarla aynı dönemde gerçekleştirilmiştir. APT28, bu yeni saldırılarda kullanıcıları, Microsoft Outlook Web Erişimi (OWA), Google ve Sophos VPN alanında popüler hizmetlere benzeyen sahte giriş sayfalarına yönlendirmektedir.
- Saldırının başlangıcı, hedef bireylere gönderilen bir kimlik avı e-postasıyla başlar. Bu e-posta, tıklanıldığında kullanıcıları webhook[.]site üzerindeki sahte sayfaya yönlendirir.
- Daha sonra, bu sayfa kullanıcılara sahte bir Microsoft OWA giriş sayfası sunarak, kimlik bilgilerini toplamaya çalışır.
- Kullanıcılar kimlik bilgilerini girdiklerinde, bu veriler webhook endpoint’ine aktarılır, böylelikle tehlike algılanmaz.
Etkilenen Sistemler
Yapılan saldırılarda kullanılan altyapı, aşağıdaki gibi hizmetlerden yararlanmaktadır:
- Webhook[.]site
- InfinityFree
- Byet Internet Services
- ngrok
Bu sistemler, sahte giriş sayfalarını barındırmakta ve çalınan verilerin aktarımını sağlamakta kullanılmaktadır. APT28 “BlueDelta” grubunun bu hizmetlerden yararlanarak kullanıcılardan bilgi toplama çabaları, siber güvenlik alanında önemli bir tehdit oluşturmaktadır.
Çözüm ve Korunma
Bu tehditlere karşı korunmak için aşağıdaki adımlar alınmalıdır:
- Şirketlerde e-posta güvenlik yöntemleri güçlendirilmelidir.
- Kullanıcıların şifrelerini düzenli olarak değiştirmesi ve karmaşık şifreler kullanması teşvik edilmelidir.
- Bir VPN veya güvenilir bir ağ üzerinden bağlantı sağlama gibi koruma önlemleri alınmalıdır.
- Yetkisiz web sitelerine (örneğin webhook[.]site gibi) yönlendirilme ihtimali konusunda kullanıcılar bilgilendirilmelidir.
Sonuç
Okuyuculara tavsiyemiz, yukarıda belirtilen güvenlik önlemlerini dikkate alarak sistemlerini güncellemeleri ve sahte içeriklere karşı daha dikkatli olmalarıdır. Ayrıca, güvenlik güncellemelerini ve yamalarını düzenli olarak uygulamayı unutmayınız. Bu önlemler, hedef olma riskinizi azaltacaktır.
