Giriş
Son yıllarda, Çin ile bağlantılı siber tehdit aktörlerinin kritik altyapı sektörlerine yönelik siber saldırıları giderek artış gösteriyor. Bu saldırılar, sadece ülke güvenliği açısından değil; aynı zamanda uluslararası iş yapış biçimlerini de tehdit eden ciddi bir endişe kaynağı haline geldi.
Saldırı Nasıl Çalışıyor?
Cisco Talos, UAT-8837 olarak adlandırılan bir tehdit aktörünün, Kuzey Amerika’daki kritik altyapı sektörlerini hedef aldığını bildiriyor. Bu aktör, yüksek değerli organizasyonlara ilk erişimi sağlamayı amaçlayarak, çeşitli taktikler ve teknikler kullanıyor. İlk erişim sağladıktan sonra, genellikle güvenlik yapılandırmaları, kimlik bilgileri ve Etki Alanı (AD) bilgilerini toplamak için açık kaynak araçlarını kullanıyor.
En son olarak, Sitecore’da (CVE-2025-53690, CVSS puanı: 9.0) kritik bir sıfır-gün açığını kullanarak bir siber saldırı düzenlediği bildirildi. Bu tür saldırılarda, UAT-8837’nin kullandığı taktikler, araçlar ve altyapı, Mandiant tarafından Eylül 2025’te detaylandırılan bir kampanya ile benzerlik gösteriyor.
Etkilenen Sistemler
UAT-8837’nin hedef aldığı sistemler, çeşitli zafiyetleri barındıran sunuculardır. Özellikle:
- Sitecore sistemleri
- Kritik altyapı ağları
- Active Directory sistemleri
Tehdit aktörü, hedef ağına girdiğinde, öncelikle keşif yapıyor ve ardından RestrictedAdmin‘i devre dışı bırakıyor. Genellikle, bulaşmış bir ana makinede aktif etkinlik göstererek elindeki araçları kullanıyor.
Eklenen Araçlar ve Yöntemler
UAT-8837, saldırı sırasında aşağıdaki araçları kullanarak hassas verileri elde ediyor:
- GoTokenTheft – Erişim jetonlarını çalmak için
- EarthWorm – saldırgan kontrolündeki sunuculara ters tünel oluşturmak için
- DWAgent – Sürekli uzaktan erişim sağlamak için
- SharpHound – Active Directory bilgilerini toplamak için
- Impacket – Yükseltilmiş yetkilerle komut çalıştırmak için
- GoExec – Hedef ağ üzerindeki diğer uzaktan uç noktalar üzerinde komut yürütmek için
- Rubeus – Kerberos etkileşimi ve suistimalleri için
- Certipy – Active Directory keşfi ve suistimali için
Çözüm ve Korunma
Sonuç olarak, bu tür siber saldırılarla başa çıkabilmek için aşağıdaki adımlar atılmalıdır:
- Tüm yazılımlarınızı ve sistemlerinizi güncel tutun.
- Kritik sistemlerinizi güvenlik duvarları ile koruyun.
- Vulnerabiliteleri sıfıra indirmek için düzenli güvenlik taramaları gerçekleştirin.
- Eski ve güvenlik açığı taşıyan sistemlerden kaçının.
- Bağlantıları izleyin ve loglayın; anormallikleri zamanında tespit edin.
Yukarıdaki önlemleri almak, organizasyonların siber saldırılara karşı direncini artıracaktır. Her zaman güvenlik önceliklerinizi güncel tutarak, olası tehditlere karşı proaktif bir yaklaşım benimseyin.
