Giriş
Southeast Asya’da hükümet kuruluşları ve kritik altyapılar üzerinde siber saldırılar düzenleyen bir grup, “TinyRCT” adını verdikleri yeni bir arka kapı yazılımıyla ilişkilendirildi. Bu durum, bölgedeki siber güvenlik tehditlerinin artışını göstermesi açısından son derece önemlidir.
Saldırı Nasıl Çalışıyor?
CL-STA-1062 olarak bilinen bu tehdit aktörleri, çeşitli başlangıç noktalarından faydalanarak hedef sistemlere sızmakta ve veri çalmaktadır. Palto Alto Networks Unit 42’ye göre, saldırganlar temel olarak SoftEther VPN, Mimikatz ve VNT gibi yaygın açık kaynak araçları kullanmakta, ancak son dönemde daha önce belgelenmemiş olan TinyRCT arka kapısını tanıtmışlardır.
TinyRCT, aşağıdaki işlevleri yerine getirebilen bir yazılımdır:
- Rastgele komutlar çalıştırmak
- Dosya listesini oluşturmak ve bunları dışa aktarmak
- Aygıtın ekranını kaydetmek
- Kendini hedef sistemden silmek
Eylül 2025’te gerçekleştirilen bir kampanyada, bu tehdit aktörlerinin bir Güneydoğu Asya hükümet kuruluşuna sızarak bir web kabuğu dağıttığı ve bir MS SQL sunucusundan veri çaldığı belirtilmiştir. Aynı saldırı sırasında, başka bir hükümet kuruluşunda ağ keşfi yapıldığı da tespit edilmiştir.
Etkilenen Sistemler
TinyRCT’nin saldırıları aşağıdaki temel unsurları hedef almaktadır:
- Kritik altyapı
- Devlet kuruluşları
- Enerji sektörü
CL-STA-1062, 2025 yılı ortalarından itibaren bu tür siber saldırılara odaklanmış ve bölgedeki birden fazla kuruluşu taramıştır. İlk olarak ASPX web kabukları aracılığıyla temel keşif yaparak, etkilenen ağlardan saldırganların kontrolündeki altyapılara yönlendirme gerçekleştirmişlerdir.
Çözüm ve Korunma
Kullanıcılar ve sistem yöneticileri, aşağıdaki adımları takip ederek bu tür siber tehditlerden korunabilirler:
- Güncellemeler: Tüm yazılımlarınızı düzenli olarak güncelleyin.
- Port Kapama: Gereksiz ağ bağlantı noktalarını kapatın.
- Ağ İzleme: Şüpheli etkinlikleri sürekli izleyin ve analiz edin.
- Antivirüs Yazılımları: Güçlü antivirüs yazılımları kullanarak sisteminizi koruyun.
Aynı zamanda, kullanıcıların istenmeyen e-postalara dikkat etmesi ve bilinmeyen kaynaklardan gelen dosyaları açmamaları büyük önem taşımaktadır.
Sonuç
Güneydoğu Asya’daki siber saldırılar, kritik altyapılara yönelik ciddi bir tehdit oluşturuyor. Kullanıcıların yazılımlarını güncelleyerek ve gereksiz portları kapatarak, mevcut tehditlere karşı daha sağlam bir savunma mekanizması kurması gerekmektedir. Aynı zamanda, önerilen güvenlik önlemlerine uyarak, olası siber saldırıların etkilerini en aza indirebilirler.
