Giriş
Microsoft, Medusa fidye yazılımı dağıtan ve finansal motivasyonla hareket eden Çin merkezli siber suç grubu Storm-1175’in, hızlı tempolu saldırılar sırasında n-gün ve sıfır-gün açıklarını kullanarak saldırılar gerçekleştirdiğini bildirdi. Bu siber suç çetesi, hedeflerinin ağlarına erişmek için yeni güvenlik açıklarını hızla hedef almakta ve bazılarını düzeltmeler yayınlanmadan bir hafta önce istismar etmektedir.
Saldırı Nasıl Çalışıyor?
Storm-1175, hedef sistemlere ait güvenlik açıklarını belirlemede yüksek bir yetkinliğe sahiptir ve genellikle birkaç gün içinde veri sızıntısına ve Medusa fidye yazılımının dağıtımına geçmektedir. CVE-2025-10035 kodlu, yüksek şiddetteki GoAnywhere MFT zafiyetini Ekim ayında Medusa fidye yazılımı saldırılarında bir hafta boyunca istismar etmiştir. Ayrıca, CVE-2026-23760 kodlu SmarterTools’ün SmarterMail e-posta sunucusundaki kimlik doğrulama atlaması zafiyetini sıfır-gün açığı olarak kullanmıştır.
Microsoft, Storm-1175’in hedef sistemlerde kalıcı hale gelmek için birden fazla açığı birbirine bağladığını ve yeni kullanıcı hesapları oluşturarak, uzaktan izleme ve yönetim yazılımları dağıtarak, kimlik bilgilerini çalarak ve güvenlik yazılımlarını devre dışı bırakarak çalıştığını gözlemlemiştir.
Etkilenen Sistemler
Son saldırılarda Storm-1175, 10 farklı yazılım ürününde 16’dan fazla güvenlik açığını istismar etmiştir. Bu sistemler arasında şunlar bulunmaktadır:
- Microsoft Exchange – CVE-2023-21529
- Papercut – CVE-2023-27351 ve CVE-2023-27350
- Ivanti Connect Secure ve Policy Secure – CVE-2023-46805 ve CVE-2024-21887
- ConnectWise ScreenConnect – CVE-2024-1709 ve CVE-2024-1708
- JetBrains TeamCity – CVE-2024-27198 ve CVE-2024-27199
- SimpleHelp – CVE-2024-57726, CVE-2024-57727 ve CVE-2024-57728
- CrushFTP – CVE-2025-31161
- SmarterMail – CVE-2025-52691
- BeyondTrust – CVE-2026-1731
Çözüm ve Korunma
CISA, FBI ile birlikte 2025 Mart ayında yayımladığı ortak bir bildirimde, Medusa fidye yazılımı çetesinin ABD’deki 300’den fazla kritik altyapı kuruluşunu etkilediğini duyurmuştur. Bu bağlamda, aşağıdaki önlemleri almanız şiddetle önerilmektedir:
- Yazılımlarınızı güncelleyin: Tüm yazılım ve sistem güncellemelerinizi düzenli olarak kontrol edin ve uygulayın.
- Ağ güvenliğinizi güçlendirin: Gereksiz portları kapatın ve güvenlik duvarı ayarlarınızı gözden geçirin.
- Kullanıcı eğitimleri düzenleyin: Ekip üyelerinizi siber güvenlik konusunda eğitin ve şüpheli e-postalara karşı dikkatli olmalarını sağlayın.
- Yedeklemeleri gerçekleştirin: Verilerinizi düzenli olarak yedekleyin ve bu yedeklerin güvenli bir yerde saklandığından emin olun.
Sonuç olarak, Storm-1175 ve benzeri tehditleri önlemek için sürekli bir dikkat ve sistem güncellemeleri şarttır. Aksi takdirde, karşılaşabileceğiniz sonuçlar ağır olabilir.
