Giriş
Google’a ait Mandiant, finansal motivasyonları olan bir siber saldırı grubu olan ShinyHunters tarafından düzenlenen tehdit aktivitelerinin genişlediğini bildirdi. Bu saldırılar, bulut tabanlı Yazılım olarak Hizmet (SaaS) uygulamalarını hedef alarak hassas verilerin çalınması ve kurbanların zorbalıkla sindirilmesine yöneliktir.
Saldırı Nasıl Çalışıyor?
Saldırılar, gelişmiş sesli oltalama (vishing) ve hedef alınan firmaların sahte kimlik bilgisi toplama siteleri aracılığıyla gerçekleştirilmektedir. Bu yöntemler aşağıdaki şekilde sınıflandırılabilir:
- UNC6661
- UNC6671
- UNC6240
- Saldırganların, kripto para odaklı şirketlerle iletişim kurarak onlara yönelik daha fazla oltalama e-postası göndermesi, siber suç gruplarının daima yeni kâr yolları aradığını göstermektedir.
: Kurban organizasyonlardaki çalışanlara IT personeli olarak sahte çağrılar yaparak kimlik bilgisi toplama bağlantılarına yönlendiriyor. Bu faaliyet, Ocak 2026’nın başı ile ortaları arasında kaydedilmiştir.
: Şirket adını kullanarak müşteri kimlik bilgilerini ve MFA şifrelerini elde etmeyi hedefliyor. Bu gruptan bazı siber saldırganlar, Okta müşteri hesaplarına erişim sağlamışlardır.
: Elde edilen erişim ile şantaj faaliyetleri yürütmektedir.
Etkilenen Sistemler
Bu saldırılar, SaaS tabanlı uygulamaların yanı sıra aşağıdaki kaynakları da hedef alıyor:
- Özel e-posta hesapları ve bu hesaplardan gönderilen oltalama e-postaları.
- Okta, SharePoint ve OneDrive gibi popüler SaaS platformları.
Çözüm ve Korunma
Google, SaaS platformlarına yönelik tehditleri azaltmak için şu önerileri sunmaktadır:
- Yardım masası süreçlerini güçlendirin; çalışanların kimliğini doğrulamak için canlı video görüşmesi talep edin.
- Güvenilir çıkış noktalarına ve fiziksel konumlara erişimi sınırlayın; güçlü parolalar kullanın ve SMS, telefon ve e-posta gibi kimlik doğrulama yöntemlerini kaldırın.
- Yönetim düzlemi erişimini kısıtlayın, açığa çıkan gizli veriler için denetim yapın ve cihaz erişim kontrollerini uygulayın.
- Kimlik eylemleri, yetkilendirmeler ve SaaS veri aktarım davranışları hakkında görünürlük sağlamak için günlüklere uygulama yapın.
- MFA aygıt kayıt ve döngüsündeki değişiklikleri tespit edin; normal çalışma saatleri dışında gerçekleşen kimlik olaylarını takip edin.
Sonuç olarak, bu siber tehditler, ürünlerin veya altyapıların güvenlik açıklarından kaynaklanmamaktadır. Bunun yerine, sosyal mühendisliğin etkinliğini ve kurumsal ortamların mümkünse oltalama direncine sahip MFA’ya geçmesinin önemini vurgulamaktadır. Bu nedenle, güncellemeler yapmalı, SMS veya telefon doğrulamasını terk ederek FIDO2 güvenlik anahtarları veya şifreler gibi daha güvenli kimlik doğrulama yöntemlerine geçilmelidir.
