Giriş
Son dönemde, Çin bağlantılı bir siber tehdit aktörü olan Webworm tarafından gerçekleştirilen yeni saldırılar dikkat çekmektedir. Bu aktör, Discord ve Microsoft Graph API’yi kullanarak özel arka kapılar (backdoor) kurmakta ve bu durum siber güvenlik açısından ciddi tehditler oluşturmaktadır.
Saldırı Nasıl Çalışıyor?
Webworm, ilk olarak Eylül 2022’de Broadcom’a ait Symantec tarafından belgelenmiştir ve 2022’den bu yana aktif olarak devlet daireleri ile IT hizmetleri, havacılık ve elektrik mühendisliği sektörleri gibi çeşitli alanlara odaklanmaktadır. Bu grup, aşağıdaki uzak erişim truva atlarını (RAT) kullanmaktadır:
- Trochilus RAT
- Gh0st RAT
- 9002 RAT (aynı zamanda Hydraq ve McRat olarak da bilinir)
Eylemlerinin büyük bir kısmını, FishMonger ve SixLittleMonkeys gibi başka Çin bağlantılı gruplarla çakışan bir yapı altında yürütmektedir. Özellikle SixLittleMonkeys, Gh0st RAT ve Mikroceen adındaki RAT’ı kullanarak Orta Asya, Rusya, Belarus ve Moğolistan’daki hedeflere saldırılar düzenlemektedir.
Etkilenen Sistemler
Son yıllarda grup, geleneksel arka kapılardan daha az belirgin olan mevcut ve özel proxy araçlarına yönelmiştir. 2025 yılı itibarıyla EchoCreep ve GraphWorm adında iki yeni arka kapı eklemiştir:
- EchoCreep: Discord üzerinden komut kontrolü (C2) iletişimi yapmaktadır.
- GraphWorm: Microsoft Graph API’yi kullanarak daha gelişmiş işlevler sunmaktadır.
Bu araçların amacı, siber suçluların faaliyetlerini gizlemek ve izlerini daha iyi örtmektir. Grubun açık kaynaklı araçlar kullandığı ve hedef sistemlerde dosyaları taramak için dirsearch ve nuclei gibi araçları kullanarak zayıflıkları araştırdığı bilinmektedir.
Çözüm ve Korunma
Webworm’un son saldırıları, kullanıcılar için çeşitli riskler barındırmaktadır. Aşağıdaki adımlar, sistemlerin korunmasına yardımcı olabilir:
- Güvenlik yamalarını düzenli olarak kontrol edin ve güncelleyin.
- Ağ trafiğinizi dikkatlice izleyin ve şüpheli etkinlikleri raporlayın.
- Portlarınızı kapatın veya yalnızca gerekli olanları açık tutun.
- Güçlü güvenlik duvarları ve ağ izleme sistemleri kullanın.
Sonuç olarak, kullanıcılar güncel yazılımlarını kontrol etmeli ve güvenlik önlemlerini artırmalıdır. Bu tür tehditlere karşı daima hazırlıklı olmak, kritik öneme sahiptir.
